SlideShare una empresa de Scribd logo

Sistema de Indicadores de Riesgos VP Operaciones Interbank

Descargar como PPTX, PDF
Alexander Velasque Rimac
Alexander Velasque Rimac

Este documento presenta un caso práctico sobre la auditoría de sistemas de una universidad peruana. Incluye varios apartados como la presentación del caso "Poniendo en marcha las defensas" sobre las medidas que debe tomar una empresa para reducir riesgos de pérdida de información, y los casos prácticos sobre tipos de controles, estimación de riesgos y la certificación de seguridad de información de Telefónica del Perú bajo la norma ISO 27001.

1 de 36
Universidad Nacional Federico Villarreal Facultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas AUDITORIA DE SISTEMAS DTI
CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO GARCÍA MORAUSKY, FLORIAN CESAR ARTEAGA, ED RICARDO UARDO MIGUEL Integrantes GONZALES BENITEZ BERNAL, JAIR PEREYRA, ANTONIO PAUL FRANCISCO
Caso Practico 1 Poniendo en marcha las defensas
Caso: Poniendo en marcha las defensas DTI entidad cuya funcionalidad es de apoyar a las empresas ser mas productivas en los diferentes aspectos como en la seguridad de la información. Por lo cual la empresa XYZ S.A.C requiere saber que defensas necesita y que medidas reforzar para ayudar a reducir los riesgos de perdida de información.
Caso: Poniendo en marcha las defensas • Personal de seguridad • Conciencia de la seguridad de información • La política de seguridad y procedimientos
Caso: Poniendo en marcha las defensas • La fijación de las vulnerabilidades • del software • Acceso, autorización y autenticación • Antivirus y sistemas de filtrado de contenido • Cortafuegos y defensas de red
Caso Practico 2 Tipos de controles
• “Creemos que nos han robado….” • “Creemos que nos están atacando…” • “Creemos que alguien no es quien dice ser…” • “Creemos que el servidor está off…” • “Creemos que….” La teoría del “Creemos”
• Evitar problemas antes de que aparezcan. • Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes. CONTROL PREVENTIVO
• Monitorear tanto las operaciones como las transacciones de entrada. • Prevenir la ocurrencia de un error, omisión o acto delictivo. CONTROL PREVENTIVO
Ejemplos Emplear únicamente personal calificado Controlar el acceso a las instalaciones físicas Uso de software para el control de acceso
Auditoría e Informes de Active Directory
Monitoreo de redes Active con NAGIOS
• “Algo que conoces”: TU PASSWORD • “Algo que tienes”: DISPOSITIVO FISICO • “Algo sobre ti”: HUELLA, IRIS, VOZ Autenticación Multi-factorn
CONTROL DETECTIVO Doble verificación de los cálculos Mensajes de error Auditoría interna
Verificación de los cálculos
Mensajes de error
Caso Practico 3 Estimación de Riesgo
BS7799  BS7799 es un estándar desarrollado por la DTI (actualmente el BSI- Department of Bussiness Innovation and Skills)  Presenta una normativa que le permite a las instituciones desarrollar un buen Sistema de Gestión de Seguridad de la Información (ISMS por sus siglas en ingles)
Secuencia de cumplimiento de BS7799 Política de seguridad Definir políticas de de información seguridad Definir el alcance del Alcance del ISMS sistema de seguridad de información Valor de los activos Estimación de riesgo Llevar a cabo una estimación de riesgo Resultados y conclusiones Áreas de riesgo a ser gestionadas Gestionar el riesgo Opciones de control selectas Seleccionar objetivos de Selección racional control y controles para ser implementados Objetivos de control y controles seleccionados Enunciado de Preparar enunciado aplicación para su aplicación
Estimación de Riesgo (casos) Inventario de recursos:  Una empresa cuenta con un servidor de correos  El dueño del servidor (hardware) sería el equipo de servidor.  El dueño de data contenida en este, es toda persona que hace uso del servidor
Estimación de Riesgo (casos) Valor del recurso: Confidencialidad ¿Qué sucede cuando alguien no autorizado lee un mail de alta gerencia? Puede ser catastrófico puesto que se maneja información muy sensible Puede ser no tan importante puesto que se manejan firmas digitales de encriptación en los mensajes
Estimación de Riesgo (casos) Valor del recurso: Integridad ¿Qué sucedería si el gerente hace un donativo y este es interceptado y modificado para que se mande a otro lado? Bastante crítico pues se esta robando dinero Se cuenta con encriptación para mensajes de salida así que es difícil de interceptar
Estimación de Riesgo (casos) Valor del recurso: Disponibilidad ¿Qué sucedería si hay una falla de hardware y el servidor no está disponible? Bastante crítico puesto que se pueden perder mails recibidos y pueden corromperse Los servidores se ejecutan en redundancia y se cuenta con un servidor de respaldo
Estimación de Riesgo (casos) Valor del riesgo:  En el caso del Servidor de correos Error de Fallas Intrusiones destinatari eléctricas o Virus e Errores de inyección Acceso no Hardware de código autorizado malicioso
Caso Practico 4 Telefónica del Perú
Puntos Previos  BSI (antes DTI) es una organización independiente y global de servicios que permite a las empresas, gobiernos y otras organizaciones incrementar los beneficios y el acceso al mercado, y ensalza la reputación de éstos con soluciones basadas en normas y servicios de seguridad.
Telefónica del Perú obtiene la certificación ISO 27001  Telefónica del Perú alcanzó la Certificación Internacional ISO/IEC 27001:2005, para su Data Center, que brinda servicios de:  Outsourcing de TI  Disaster Recovery/Businnes Continuity  Hosting  Housing  Para sus centros de gestión de móviles, de banda ancha y de redes empresariales, que han sido elevados a estándares de clase mundial.
CARACTERISTICA DEL ESTANDAR • Fue aprobado y publicado como estándar internacional en octubre de 2005 por INTERNATIONAL ORGANIZATION FOR 1 PUNTO STANDARDIZATIOn y por la comisión INTERNATIONAL ELECTROTECHNICAL COMMISSION. • Especifica los requisitos necesarios para establecer, 2 PUNTO implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). • Tiene su origen en la norma BS 7799-2:2002, 3 PUNTO desarrollada por la entidad de normalización británica (BSI).
¿Cómo se implementa? • Suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad 1 Punto de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al en adelante SGSI elegido. • El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la 2 Punto dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática
¿Cómo te certificas? Tener en cuenta La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
VENTAJAS • Posiciona a Telefónica del Perú como la operadora de Latinoamérica con la certificación ISO 27001 de mayor alcance y la única con la Gestión de los Servicios Móviles y de Gestión del Data Center 1 certificada. • Marca la Diferencia no solo en el Perú, sino también en Latinoamérica, dentro y fuera del Grupo Telefónica. 2 • Cuentan con un Sistema de Gestión de la Seguridad de la Información certificado bajo una Norma Internacional tanto para las 3 redes como para los servicios de TI.
Caso Práctico 5  Sistema de Indicadores de Riesgos  VP. Operaciones - Interbank
Página Oficial
Gráfico Principal
Sistema de Indicadores de Riesgos VP Operaciones Interbank

Recomendados

Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
Seguridad en la comunicación de datos
Seguridad en la comunicación de datosSeguridad en la comunicación de datos
Seguridad en la comunicación de datosRaúl Samaniego
 
Panda adaptive defense_360_solution_brief_sp
Panda adaptive defense_360_solution_brief_spPanda adaptive defense_360_solution_brief_sp
Panda adaptive defense_360_solution_brief_spAndres Guerrero
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. IdentidadFrancisco Medina
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Metodología de Desarrollo de TI para PYME
Metodología de Desarrollo de TI para PYMEMetodología de Desarrollo de TI para PYME
Metodología de Desarrollo de TI para PYMEJorge Luis Ojeda
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 

Recomendados

Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
Seguridad en la comunicación de datos
Seguridad en la comunicación de datosSeguridad en la comunicación de datos
Seguridad en la comunicación de datosRaúl Samaniego
 
Panda adaptive defense_360_solution_brief_sp
Panda adaptive defense_360_solution_brief_spPanda adaptive defense_360_solution_brief_sp
Panda adaptive defense_360_solution_brief_spAndres Guerrero
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. IdentidadFrancisco Medina
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Metodología de Desarrollo de TI para PYME
Metodología de Desarrollo de TI para PYMEMetodología de Desarrollo de TI para PYME
Metodología de Desarrollo de TI para PYMEJorge Luis Ojeda
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITY
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITYMemoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITY
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITYAranda Software
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJesús Fuentes
 
Managed Office Protection
Managed Office ProtectionManaged Office Protection
Managed Office Protectioncomprodi
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Unidad7
Unidad7Unidad7
Unidad7Universidad Autónoma de Nayarit
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochureJuan Francisco Rivas Figueroa
 
Plan de contigencia
Plan de contigenciaPlan de contigencia
Plan de contigenciaJesús Fuentes
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Panda Managed Office Protection
Panda Managed Office ProtectionPanda Managed Office Protection
Panda Managed Office Protectioncomprodi
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 

Más contenido relacionado

La actualidad más candente

Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITY
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITYMemoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITY
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITYAranda Software
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Managed Office Protection
Managed Office ProtectionManaged Office Protection
Managed Office Protectioncomprodi
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Panda Managed Office Protection
Panda Managed Office ProtectionPanda Managed Office Protection
Panda Managed Office Protectioncomprodi
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 

La actualidad más candente (20)

Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITY
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITYMemoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITY
Memoria webCast Control de Dispositivos Removibles Aranda 360 ENDPOINT SECURITY
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Managed Office Protection
Managed Office ProtectionManaged Office Protection
Managed Office Protection
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informática
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
 
Unidad7
Unidad7Unidad7
Unidad7
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Plan de contigencia
Plan de contigenciaPlan de contigencia
Plan de contigencia
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 
Panda Managed Office Protection
Panda Managed Office ProtectionPanda Managed Office Protection
Panda Managed Office Protection
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 
Seguridad
SeguridadSeguridad
Seguridad
 

Similar a Sistema de Indicadores de Riesgos VP Operaciones Interbank

Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfLuis Contreras Velásquez
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)Santiago Cavanna
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadGeovany_8
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Mundo Contact
 

Similar a Sistema de Indicadores de Riesgos VP Operaciones Interbank (20)

Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada Pribatua
 
ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive Defense
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Plan General Seguridad Integral
Plan General Seguridad IntegralPlan General Seguridad Integral
Plan General Seguridad Integral
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Security
SecuritySecurity
Security
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
 

Más de Alexander Velasque Rimac

Más de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas 1- exposicionOrganigramas 1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 

Sistema de Indicadores de Riesgos VP Operaciones Interbank

  • 1. Universidad Nacional Federico Villarreal Facultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas AUDITORIA DE SISTEMAS DTI
  • 2. CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO GARCÍA MORAUSKY, FLORIAN CESAR ARTEAGA, ED RICARDO UARDO MIGUEL Integrantes GONZALES BENITEZ BERNAL, JAIR PEREYRA, ANTONIO PAUL FRANCISCO
  • 3. Caso Practico 1 Poniendo en marcha las defensas
  • 4. Caso: Poniendo en marcha las defensas DTI entidad cuya funcionalidad es de apoyar a las empresas ser mas productivas en los diferentes aspectos como en la seguridad de la información. Por lo cual la empresa XYZ S.A.C requiere saber que defensas necesita y que medidas reforzar para ayudar a reducir los riesgos de perdida de información.
  • 5. Caso: Poniendo en marcha las defensas • Personal de seguridad • Conciencia de la seguridad de información • La política de seguridad y procedimientos
  • 6. Caso: Poniendo en marcha las defensas • La fijación de las vulnerabilidades • del software • Acceso, autorización y autenticación • Antivirus y sistemas de filtrado de contenido • Cortafuegos y defensas de red
  • 7. Caso Practico 2 Tipos de controles
  • 8. • “Creemos que nos han robado….” • “Creemos que nos están atacando…” • “Creemos que alguien no es quien dice ser…” • “Creemos que el servidor está off…” • “Creemos que….” La teoría del “Creemos”
  • 9. • Evitar problemas antes de que aparezcan. • Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes. CONTROL PREVENTIVO
  • 10. • Monitorear tanto las operaciones como las transacciones de entrada. • Prevenir la ocurrencia de un error, omisión o acto delictivo. CONTROL PREVENTIVO
  • 11. Ejemplos Emplear únicamente personal calificado Controlar el acceso a las instalaciones físicas Uso de software para el control de acceso
  • 12. Auditoría e Informes de Active Directory
  • 13. Monitoreo de redes Active con NAGIOS
  • 14. • “Algo que conoces”: TU PASSWORD • “Algo que tienes”: DISPOSITIVO FISICO • “Algo sobre ti”: HUELLA, IRIS, VOZ Autenticación Multi-factorn
  • 15. CONTROL DETECTIVO Doble verificación de los cálculos Mensajes de error Auditoría interna
  • 16. Verificación de los cálculos
  • 18. Caso Practico 3 Estimación de Riesgo
  • 19. BS7799  BS7799 es un estándar desarrollado por la DTI (actualmente el BSI- Department of Bussiness Innovation and Skills)  Presenta una normativa que le permite a las instituciones desarrollar un buen Sistema de Gestión de Seguridad de la Información (ISMS por sus siglas en ingles)
  • 20. Secuencia de cumplimiento de BS7799 Política de seguridad Definir políticas de de información seguridad Definir el alcance del Alcance del ISMS sistema de seguridad de información Valor de los activos Estimación de riesgo Llevar a cabo una estimación de riesgo Resultados y conclusiones Áreas de riesgo a ser gestionadas Gestionar el riesgo Opciones de control selectas Seleccionar objetivos de Selección racional control y controles para ser implementados Objetivos de control y controles seleccionados Enunciado de Preparar enunciado aplicación para su aplicación
  • 21. Estimación de Riesgo (casos) Inventario de recursos:  Una empresa cuenta con un servidor de correos  El dueño del servidor (hardware) sería el equipo de servidor.  El dueño de data contenida en este, es toda persona que hace uso del servidor
  • 22. Estimación de Riesgo (casos) Valor del recurso: Confidencialidad ¿Qué sucede cuando alguien no autorizado lee un mail de alta gerencia? Puede ser catastrófico puesto que se maneja información muy sensible Puede ser no tan importante puesto que se manejan firmas digitales de encriptación en los mensajes
  • 23. Estimación de Riesgo (casos) Valor del recurso: Integridad ¿Qué sucedería si el gerente hace un donativo y este es interceptado y modificado para que se mande a otro lado? Bastante crítico pues se esta robando dinero Se cuenta con encriptación para mensajes de salida así que es difícil de interceptar
  • 24. Estimación de Riesgo (casos) Valor del recurso: Disponibilidad ¿Qué sucedería si hay una falla de hardware y el servidor no está disponible? Bastante crítico puesto que se pueden perder mails recibidos y pueden corromperse Los servidores se ejecutan en redundancia y se cuenta con un servidor de respaldo
  • 25. Estimación de Riesgo (casos) Valor del riesgo:  En el caso del Servidor de correos Error de Fallas Intrusiones destinatari eléctricas o Virus e Errores de inyección Acceso no Hardware de código autorizado malicioso
  • 26. Caso Practico 4 Telefónica del Perú
  • 27. Puntos Previos  BSI (antes DTI) es una organización independiente y global de servicios que permite a las empresas, gobiernos y otras organizaciones incrementar los beneficios y el acceso al mercado, y ensalza la reputación de éstos con soluciones basadas en normas y servicios de seguridad.
  • 28. Telefónica del Perú obtiene la certificación ISO 27001  Telefónica del Perú alcanzó la Certificación Internacional ISO/IEC 27001:2005, para su Data Center, que brinda servicios de:  Outsourcing de TI  Disaster Recovery/Businnes Continuity  Hosting  Housing  Para sus centros de gestión de móviles, de banda ancha y de redes empresariales, que han sido elevados a estándares de clase mundial.
  • 29. CARACTERISTICA DEL ESTANDAR • Fue aprobado y publicado como estándar internacional en octubre de 2005 por INTERNATIONAL ORGANIZATION FOR 1 PUNTO STANDARDIZATIOn y por la comisión INTERNATIONAL ELECTROTECHNICAL COMMISSION. • Especifica los requisitos necesarios para establecer, 2 PUNTO implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). • Tiene su origen en la norma BS 7799-2:2002, 3 PUNTO desarrollada por la entidad de normalización británica (BSI).
  • 30. ¿Cómo se implementa? • Suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad 1 Punto de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al en adelante SGSI elegido. • El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la 2 Punto dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática
  • 31. ¿Cómo te certificas? Tener en cuenta La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
  • 32. VENTAJAS • Posiciona a Telefónica del Perú como la operadora de Latinoamérica con la certificación ISO 27001 de mayor alcance y la única con la Gestión de los Servicios Móviles y de Gestión del Data Center 1 certificada. • Marca la Diferencia no solo en el Perú, sino también en Latinoamérica, dentro y fuera del Grupo Telefónica. 2 • Cuentan con un Sistema de Gestión de la Seguridad de la Información certificado bajo una Norma Internacional tanto para las 3 redes como para los servicios de TI.
  • 33. Caso Práctico 5  Sistema de Indicadores de Riesgos  VP. Operaciones - Interbank