Aud Uni 06

  • October 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Aud Uni 06 as PDF for free.

More details

  • Words: 1,998
  • Pages: 32
SESION 9: Contingencia, Continuidad y Cumplimiento

Contingencia, Continuidad y Cumplimiento Agenda: Gestión de la Continuidad del Negocio ■ Monitoreo y cumplimiento ■

9.- Gestión de Contingencia y Continuidad Comercial Plan de Continuidad del Negocio

Plan de Contingencias

•Respuestas inmediatas ante eventos que originen pérdida de datos o interrupción de las operaciones. •Especificaciones del Plan de Acción a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definición de Recursos, niveles de Contingencia, escenarios de Contingencia. Activación de la Contingencia. Revisión de la Estrategia

•Inventario de Procesos del Negocio. •Identificación de Procesos Críticos •Especificaciones de los mecanismos de Acción a seguir para la continuidad •Plan de Recuperación de los estados de Seguridad

Revisión del Plan Actual

Mejora Continua Revisión de Programas

Pruebas del Plan Actual

OBJETIVO.- Contrarrestar las interrupciones a las actividades del negocio y proteger los procesos críticos de los efectos de los principales desastres Debe ser implementado para reducir las interrupciones causadas por desastres y fallas a la seguridad

Planes de Contingencia deben ser desarrollados para asegurar que procesos de negocio pueden ser restaurados dentro de los marcos de tiempos requeridos

AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Plan de Contingencia ■Objetivos del Plan ■Proceso de planeación ■Análisis de Riesgos ■Planeamiento estratégico de contingencias ■Documentación del Plan ■Pruebas del Plan

AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Errores Hardware

Errores de La Red

Humanos

AMENAZAS A LA INTEGRIDAD DE DATOS

Problemas de tipo lógico

Desastres

AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Inexperiencia Estrés/ Pánico

Accidentes AMENAZAS HUMANAS A LA INTEGRIDAD

Falta de Comunicación

Avaricia Venganza

AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Disco Alimentación AMENAZA POR ERRORES HARDWARE

Memoria

Medios

Dispositivos

Controlador de E/S

Chip y placa base

AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Tarjetas y dispositivos de interfaz de red

AMENAZA A LA INTEGRIDAD ERRORES DE LA RED

Cableado

Radiación

AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Errores Corrupción De files AMENAZAS POR PROBLEMAS DE TIPO LOGICO

Errores de intercambio Errores de almacenamiento

Errores del Sistema operativo

Requisitos Mal definidos

Herramientas para mejorar la Integridad de Datos         

Copias de Seguridad Técnicas de espejo Archivado Custodia Chequeo de paridad Plan de contingencia Análisis de fallos Alimentac. Ininterrumpida Implementación de técnicas de Seguridad

        

Correctiva Preventiva Preventiva Correctiva Preventiva Preventiva Preventiva Preventiva Preventiva

Herramientas para reducir las amenazas contra la seguridad          

Eliminación de puertas traseras Chequeo de virus Seguridad Física Política de máquinas desatendidas Políticas de eliminación de basura Política de contraseñas Cifrado Obligación de identificación Uso de Cortafuegos Trampas para Intrusos

   

     

Sistema Sistema Política Política Política Política Sistema Sistema Sistema Sistema

9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.1 Debe incorporar:

• Entendimiento de Riesgos en términos de amenazas y probabilidad • Identificar y priorizar los procesos críticos del negocio • Entender el impacto en el negocio • Considerar compra de póliza de seguros • Documentar una estrategia consistente de la continuidad del negocio con la propia estrategia de negocio • Actualización y prueba regular del plan • Asegurar que Gestión de Continuidad de Negocio es incorporada en proceso y estructura de la organización

Costo comparativo de Recuperación 80 60 40 20 0 1

2

3

1 = Sin PC 2 = Con PC pobre 3 = Con buen PC

9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.2 Continuidad y Análisis Plan IT Integral Plan IT Host Principal Plan IT Focalizado del impacto:

• Identificar eventos que pueden causar interrupción • Determinar probabilidad de estas interrupciones • Determinar Impacto de estas interrupciones • Debe considerar todos los procesos no solo facilidades de procesamiento de información

incapacidad de operación total de los sistemas, equipos y servicios de IT

incapacidad definitiva y no recuperable de operación exclusivamente de nuestro servidor principal AS/400

incapacidad de operación específica, ya sea recuperable o no de algún sistema, equipo o servicios de IT

Escenarios

Terremoto

Incendio

Atentado

Inundación

Incendio

Robo

Fallas de algún equipo, línea de comun. o sistema Robo Inundación

9.1.3 Preparación e implementación del PCN

Atentado

Probabilidades

Baja

Baja

Atentado menor Incumplimiento de algún Alta proveedor de servicio

• Identificación y acuerdo de responsabilidades y procedimientos de emergencia • Atención particular a dependencias externas y contratos respectivos • Plan documentado • Prueba y actualización del plan

9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.4 Marco del PCN:

• Condiciones para activar planes • Acciones a seguir en incidente • Procedimientos de emergencia para mover procesos esenciales a ubicaciones temporales • Procesos de reanudación para retornar a operaciones normales • Cronograma de prueba y mantenimiento • Actividades de educación y toma de conciencia de responsabilidades individuales

• Procedimientos de emergencia Evacuación

• Procedimientos de evacuación • Organización para emergencia • Centro de emergencia

Equipo de Gestión de Crisis

Declaración de Desastre

• Ambientes seguros y de seguridad • Accidentes • Evaluación de impacto • Caja de Acciones

• Invocar planes de recuperación

total o parcial

• Equipos de recuperación del negocio Continuidad del Negocio

• Prioridades del negocio • Control de Gastos • Equipos de apoyo a recuperación • Registros Vitales • Personal clave y contactos • Requerimiento de recursos

9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.5 Realización de pruebas, mantenimiento y reevaluación de PCN:

Prueba de planes: • Simulaciones • Prueba de recuperación técnica • Pruebas de facilidades y servicios del proveedor • Ensayos completos

Mantenimiento y reevaluación: • Personal • Direcciones o números telefónicos • Ubicación, facilidades y recusrsos • Legislación • Contratistas, proveedores y clientes claves • Cambios a procesos • Riesgos

9.- Gestión de Contingencia y Continuidad Comercial

Porqué invertir en el PCN ?

Proyecciones

9.- Gestión de Contingencia y Continuidad Comercial

Recuperación de Desastres

Requerimientos para RD

10.- Cumplimiento OBJETIVO.- evitar rupturas de cualquier ley civil o penal, de estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad • Obtener asesoría sobre requerimientos legales de asesores de la organización • Identificación de legislación aplicable • Requerimientos regulatorios deben ser explícitamente definidos y documentados por cada sistema de información. Controles y responsabilidades documentadas

10.1 Cumplimiento de Requerimientos Legales • Derechos de propiedad intelectual y derechos del autor

• Derechos de autor en software y aplicativos • Publicar política de cumplimiento • Estándares para adquisición de software • Mantener registro de activos y pruebas de propiedad • Llevar a cabo chequeos periódicos de cumplimiento • Cumplir con términos y condiciones para software obtenido de redes públicas

10.- Cumplimiento 10.1 Cumplimiento de Requerimientos Legales • Salvaguarda de registros organizacionales (algunos deben cumplir

requerimientos regulatorios) • Claves criptográficas para archivos encriptados deben ser retenidas en forma segura • También considerar: • Guías para retención, almacenamiento, manipuleo y eliminación de registros • Cronograma de retención debidamente documentado • Inventario fuentes de información clave • Controles para prevenir pérdida, destrucción o falsificación • Protección de datos y privacía de información personal • Legislación aprobada respecto a procesamiento y transmisión de información • Prevención del mal uso de facilidades de procesamiento de información

• Regulación de controles criptográficos (Importación y/o exportación de Hw y Sw para criptografía • Sistemas de Información cumplan con evidencia admisible: • Para documentos de papel: mantener original seguro • Para medios electrónicos: copias que aseguren disponibilidad

10.- Cumplimiento

10.2 Revisiones de la política de seguridad y cumplimiento técnico: Para asegurar cumplimiento de los sistemas con políticas de seguridad organizacional y estándares “Seguridad de los sistemas de información debe ser revisada regularmente contra las políticas apropiadas de seguridad y las plataformas técnicas deben ser auditadas para cumplimiento de implementación de estándares de seguridad” • Cumplimiento de política de Seguridad: Todas las áreas de la organización deben ser consideradas para revisiones regulares • Chequeo de cumplimiento técnico: Verificar cumplimiento con estándares . Incluir pruebas periódicas de vulnerabilidad 10.3 Consideraciones de Auditoría del Sistema: requerimientos de auditoría deben ser acordados en nivel de Gerencia adecuado. • Alcance de auditorías debe ser convenida y controlada • Auditoría limitadas a acceso solo de lectura de Sw. y datos • Accesos distintos a “solo lectura” permitido solo para copias aisladas de archivos del sistema • Accesos monitoreados; procesos documentados • Acceso a herramientas de auditoría restringidos y separados de ambientes de desarrollo y producción

Auditoria de Proyectos TI Ciclo de vida de un proyecto informático N E C E S I D A D

Formulación Correcciones, adiciones, cambios

Ejecución

Aplicación

Desviaciones, retrasos, Cambios, productos contingencias inadecuados, desviaciones

Administración y Control

El proceso es iterativo y de acuerdo a su forma de desarrollo puede ser recursivo, escalonado o manejarse en espiral

O B J E T I V O S

Auditoria de Proyectos TI Planificación del proyecto: Formulación, estándares de trabajo, documentación y administración ■ Organización: personal, equipos e infraestructura ■ Ejecución: Desarrollo o Parametrización ■ Implementación: Pruebas, migración y lanzamiento ■ Seguimiento post-implantación ■

Auditoria de Proyectos TI

Planificación del proyecto: Formulación ■ Revisión de objetivos, alcance y etapas ■ Alineación del Plan de Sistemas con el Plan Estratégico de la empresa ■ Revisión del dimensionamiento de recursos ■ Revisión del Presupuesto del proyecto ■ Revisión de la estrategia de ejecución del proyecto - Términos técnicos ■ Revisión del proceso de inicio del proyecto

Auditoria de Proyectos TI Planificación del proyecto: Estándares ■ Normativa de configuración de equipos: Estructura de equipos, Funciones de los equipos, perfil de recursos externos, control de tareas realizadas ■ Normativa de diseño del sistema: Diseño funcional, diseño de bases de datos, diseño de procesos, revisión y aprobación del usuario y de sistemas, diseño de interfases

Auditoria de Proyectos TI Planificación del proyecto: Estándares ■ Normativa de desarrollo: Selección de las herramientas de desarrollo y de apoyo ■ Normativa de mantenimiento: en casa o del proveedor, gestión de incidencias, prueba y puesta en marcha de mantenimiento ■ Normativa de documentación técnica: del diseño funcional, diseño técnico, de programación y de pruebas

Auditoria de Proyectos TI Planificación del proyecto: Administración ■ Establecimiento del calendario por etapas: tareas, costos, recursos asignados, fecha de inicio y de término ■ Selección de método de adquisición de equipos y establecimiento de servicios ■ Contratos: Términos, condiciones y plazos ■ Diseño de la organización de la administración y ambiente de trabajo

Auditoria de Proyectos TI Organización del proyecto: ■ Personal: Perfil técnico, proceso de selección de personal, contratación, organización técnica y administrativa ■ Equipos: Definición de requerimientos de desarrollo y soporte administrativo, adquisición, servicios conexos ■ Infraestructura: Definición de ambiente de trabajo, características y condiciones

Auditoria de Proyectos TI Ejecución del proyecto: ■ Revisión de metodología: organización técnica, criterios de selección, asistencia técnica y entrenamiento ■ Revisión de los procedimientos, técnicas y herramientas de desarrollo ■ Administración del proyecto y control de los cambios: seguimiento del proyecto y coordinación técnica

Auditoria de Proyectos TI Ejecución del proyecto: ■ Evaluación de Selección de Paquetes o sistemas más sofisticados (p.e.:ERP) ■ Evaluación de construcción de Prototipo ■ Evaluación de pruebas de construcción: unitarias, proceso y por simulación ■ Evaluación del seguimiento: reuniones periódicas, avance del proyecto, desviaciones y ampliaciones

Auditoria de Proyectos TI Implantación del proyecto: ■ Evaluación de alternativas de implementación: Directa, Paralelo, Piloto, Modular ■ Evaluación de pruebas funcionales y de perfomance con el usuario ■ Evaluación de conversión, migración datos ■ Evaluación de la integración de los sistemas

Auditoria de Proyectos TI Post-instalación del proyecto: ■ Evaluación de cambios y justificación: factores externos o nuevas disposiciones ■ Evaluación del manejo del sistema y los controles operativos ■ Evaluación de funcionalidad en función de expectativas ■ Evaluación del servicio de mantenimiento establecido

Auditoria de Proyectos TI Los riesgos mas comunes son: ■ Alcance inadecuado: revisiones sucesivas que afecte cronogramas y actividades ■ Costos y tiempos excesivos: se puede gastar el presupuesto asignado y perder el proyecto o desvirtuar el objetivo ■ Necesidades de los usuarios insatisfechas: el proyecto puede nacer muerto, o ser abandonado en desarrollo

Related Documents

Aud Uni 06
October 2019 4
Aud Uni 09
October 2019 4
Aud Uni 03
October 2019 8
Aud Uni 07
October 2019 3
Aud Uni 08
October 2019 7
Aud Uni 02
October 2019 4