Please enable JavaScript.

Coggle requires JavaScript to display documents.

U6 - Seguridad y Auditoria de sistemas de informacion - Coggle Diagram

- - - - Se verifica
        
        Vigencia de objetivos planteados como base del diseño original
        
        Concordancia del sistema con los objetivos
        
        Permanencia del diseño
        
        Eficiencia (Costo-beneficio)
      - Debe asegurar
        
        Existencia de pistas de auditorias (operaciones rastreables)
        
        Existencia de controles adecuados (Entrada de datos, integridad)
        
        Manejo de excepciones y rechazos
        
        Cumplimiento de politicas internas y reglamentos gubernamentales
        
        Existencia de condiciones de seguridad que protejan los datos
      - Objeto
        
        Recursos informaticos, funcion de SI, aplicaciones, proyectos, planes de contingencia, seguridad, aspectos legales almacenamientos de datos, etc
      - Finalidad
        
        Comparacion entre lo actual y la operatividad efectiva y segura establecidas
      - Tipos de pruebas
        
        Cumplimiento (las mejores)
        
        Determinar si los controles se ajustan a politicas y procedimientos
        
        De detalles
        
        Revision de documentos
        
        De observacion
        
        Indagar al personal, programas de revision, etc
        
        Sustantivas
        
        Verificar adecuacion de controles existentes para proteger a la organizacion
  - - - No tiene vinculos laborales. La empresa necesita comunicar algo, por ejemplo. Certificar un nivel de seguridad
    - - Examen de un SI de una unidad economica, realizado por un profesional con vinculos laborales, utilizando tecnicas con el objetivo de emitir informes y formular sugerencias para el mejoramiento
  - - - Se reune evidencia: Conjunto de informacion que se dispone para determinar si el ente o los datos auditados han cumplico con los criterios u objetivos de auditoria
      - Evidencia
        
        Condiciones
        
        De calidad, suficiente y relevante
        
        Tecnicas
        
        Revision de estructuras organizacionales
        
        Revision de documentacion del SI
        
        Aplicacion de tecnicas de muestreo
        
        Aplicacion de procedimientos a menos del 100% de los items de un tipo determinado
    - - Conclusiones llegadas por el auditor
      - Tipos
        
        Sin Salvedades
        
        No se encontraron problemas
        
        Con Salvedades
        
        Se encontraron algunas condiciones de excepcion
        
        Con opinion adversa
        
        No se cumplen las normas aceptadas
        
        Sin opinion
        
        Se emite en los casos en que el alcance de la auditoria es limitado
  - - - Propio del trabajo a realizar
    - - No son detectados o evitados por el control interno
    - - Pruebas exitosas a partir de malos procedimientos
- - - - Criticos
        
        Tolerancia de interrupcion baja. No pueden ser reemplazados por metodos manuales
      - Vitales
        
        Tolerancia moderada. Puede ejecutarse manualmente por periodos breves
      - Sensibles
        
        Pueden realizarse en forma manual por periodos relativamente largos
      - No criticos
        
        Pueden realizarse sin mayores esfuerzos
    - - Catastrofe
        
        Destruccion de componentes e instalaciones. Se requiere otra instalacion transitoriamente, hasta que se arregle la situacion (equipar otra instalacion)
      - Desastre
        
        Superior a un dia. Posible reanudar las actividades luego de superados los inconvenientes. Se debe recurrir a instalacion alternativa, copias de software.
      - No desastres
        
        Interrupciones breves, menos de un dia. Mal funcionamiento o falla que requieren inmediata correccion
      - Plan de contingencia
        
        Para ellos se debe tener un plan de contingencia con orden de prioridades de recuperacion, mecanismos de acoplamiento durante interrupciones, el personal debe estar entrenado, disponibilidad de hardware alternativo
        
        Hardware alternativo
        
        Hot sites
        
        Instalaciones completas
        
        Warm Sites
        
        Parcialmente configuradas
        
        Cold sites
        
        En condiciones de ser equipados
        
        Responsabilidad del auditor
        
        Debe evaluar el plan, los grados de tolerancia, dispositivos en sede alternativa, capacitacion del personal mediante simulacros, que el plan contenga mecanismo de fusion de datos alternativos con los centrales, seguridad fisica de la sede alternativa, contrato con la sede alternativa
    - - Proteccion de la vida humana
      - Evaluacion de daños y estimacion de tiempo de recuperacion
      - Coordinacion de actividades de recuperacion
      - Recuperacion de redes
      - Administracion de condiciones de seguridad
      - Gestion de aspectos legales
    - - Activos
      - Amenazas
      - Vulnerabilidades
      - Impactos
      - Riesgo Global
      - Riesgo Residual
- - - - Fuentes de amenaza, activos vulnerables
      - Tipos de amenaza
        
        Fisicias o logicas
        
        Accidental o deliberada
      - La vulnerabilidad depende
        
        El personal de la organizacion
        
        El tamaño de la red
        
        La calidad de transmision de datos
    - - Perdida esperada = perdida potencial x frecuencia de perdida
      - Frecuencia de perdidad = prob agresion x prob exito
      - Activos vulnerables a perdida: Hardware, software, datos, informacion, procesamiento, personal, etc
      - Una perdida resultante de una falla se relaciona con los atributos de inf.: Perdida de disp, de integridad o confidencialidad
    - - Estrategias
        
        Prevenir el riesgo. Se intenta evitar la amenaza. Ej. ubicar los sistemas lejos de zonas peligrosas
        
        Asumir el riesgo. Se utiliza cuando las perdidas son tolerables.
        
        Reducir el riesgo. Es dificl evitarlo por completo. Controles y contramedidas para reducir la posibilidad de ocurrencia y/o reducir las perdidas resultantes de una falla en la seguridad
        
        Transferir el riesgo. Transfiere los costos resultantes de una falla a un tercero, mediante polizas de seguros o contratos de mantenimiento
      - Controles y contra medidas
        
        Prevencion (1era linea de defensa)
        
        Deteccion (2da linea de defensa)
        
        Recuperacion (3era linea de defensa)
        
        https://drive.google.com/drive/u/0/search?q=l%C3%ADneas%20de%20defensa
        
        Ejemplos https://drive.google.com/drive/u/0/search?q=l%C3%ADneas%20de%20defensa, https://docs.google.com/document/d/1YV-5cqv563yBN-TnMwIVmarDFf_OChBdn9fIjt1R0QU/edit
    - - Planes que permiten que la empresa sobreviva a algun desastre y los procesos para recuperarse del mismo.
      - Tiempo de inhabilitacion
        
        Cantidad de tiempo antes de que los sistemas vuelvan a estar disponibles
      - Respaldo
        
        Mantener el funcionamiento hasta que se normalice
        
        Soluciones (Hardware alternativo)
        
        Instalacion de emergencia (Hot sites)
        
        Instalacion intermedia (Warm sites)
        
        Instalaciones moviles (Cold sites)
      - Reinstalacion
        
        Unificar y actualizar con todos los datos generados durante el tiempo de inactividad de la sede
  - - - Prohibitiva
        
        Si todo lo que no esta expresamente permitido, esta prohibido
      - Permisiva
        
        Si todo lo que no esta expresamente prohibido, esta permitido
    - - Condicion del entorno (Persona, maquina, suceso o idea) que, dada una oportunindad, podria dar lugar a una violacion de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, no repudio)
      - Un ataque es la realizacion de la amenaza
        
        Pueden ser activo o pasivos (Estos ultimos no modifican los datos)
    - - Fase de desarrollo
        
        a. Creacion (Se planifica, investiga y redacta)
        
        b. Revision (Por un auditor?)
        
        c. Aprobacion (Por administracion)
      - Fase de implementacion
        
        a. Comunicacion. Difundir, concientizar
        
        b. Cumplimiento. Seguimiento de que se cumpla
        
        c. Excepciones. No todas las politicas pueden cumplirse de la forma planteada. Por eso deben documentarse excepciones
      - Fase de mantenimiento
        
        a. Concientizacion. Que las personas cumplan y entiendan la importancia
        
        b. Monitoreo. Seguimiento y reporte de efectividad
        
        c. Garantia de cumplimiento. Identifica omisiones a la politica para prevenir que sigan ocurriendo
        
        d. Mantenimiento. Es contingencial (depende del entorno)
      - Fase de eliminacion
        
        a. Retiro. Cuando ya no es necesaria (ej. avances tecnologicos)
- - - - Cumplimiento de procedimientos, normas, etc
      - Produccion diaria
      - Calidad y eficiencia en el desarrollo y mantenimiento
      - Redes y SW
      - Seguridad informatica
  - - - Evitar errores (ej control de acceso logico)
    - - Corregir errores (ej campo de fecha que corrige formato)
    - - Detectar errores (ej Violaciones de acceso)