Dfdgvdszv
Páginas: 6 (1282 palabras)
Publicado: 25 de noviembre de 2010
Introducción
▪ No se conocen datos completos y fiables sobre el nivel de protección de las entidades en Peru
▪ Una frase que describe el estado actual: “No pasan más cosas porque Dios es bueno”
▪ No conocemos la mayor parte de las que pasan, porque ya se ocupan las entidades afectadas de que no se difundan
Fases
|Nº |FASE|
|1 |Concreción de los objetivos y delimitación del alcance y profundidad de la auditoria. |
|2 |Análisis de posibles fuentes y recopilación de información |
|3 |Determinación del plande trabajo y de los recursos y plazos. |
|4 |Adaptación de cuestionarios. |
|5 |Realización de entrevistas y pruebas |
|6 |Análisis deresultados y valoración de riesgos |
|7 |Presentación y discusión del informe provisional |
|8 |Informe definitivo |
Áreas
➢ Controlesdirectivos, es decir, los fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité.
➢ Desarrollo de políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas
➢ Marco jurídico aplicable
➢ Amenazas físicas externas: inundaciones, incendios, terremotos, etc.
➢ Control de acceso adecuadotanto físicos como lógicos
➢ Protección de datos: Aplicación de la LOPD.
➢ Comunicaciones y redes: topología, cifrado, etc.
➢ Desarrollo de aplicaciones en un entorno seguro: incorporen controles en los productos desarrollados y que éstos resulten auditables.
Evaluación de riesgos
• Se trata de identificar los riesgos, cuantificar su probabilidad e impacto y analizar medidasque los eliminen.
• Para evaluarlos habrá que considerar: el tipo de información almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnología usada, marco legal aplicable, etc.
• El factor humano es el principal riesgo a considerar, salvo excepciones (sistemas automatizados)
• Habrá que considerar si la seguridad es realmente una preocupación corporativa, esdecir, si tienen una cultura de la seguridad.
• Una vez identificados y medidos los riesgos, lo mejor será eliminarlos y si no se pudiese reducirlos al máximo. Otra posibilidad es asumir los riesgos.
• Problemas: Las medidas deberán considerarse como inversiones en seguridad, aunque en algunos casos es difícil comprobar su rentabilidad.
Fuentes
o Políticas, estándares normas yprocedimientos.
o Planes de seguridad.
o Contratos, pólizas de seguros.
o Organigrama y descripción de funciones.
o Documentación de aplicaciones
o Descripción de dispositivos relacionados con la seguridad
o Manuales técnicos de sistemas operativos o de herramientas.
o Inventarios: de soportes, de aplicaciones
o Topología de redes
o Planos deinstalaciones
o Registros: de problemas, de cambios, de visitas, de accesos lógicos producido.
o Entrevistas a diferentes niveles
o Ficheros
o Programas
o La observación
o Documentación de planes de continuidad y sus pruebas
o Informes de suministradores o consultores
Seguridad Física
▪ Se evaluarán las protecciones físicas de datos, programas, instalaciones,...
▪ No se conocen datos completos y fiables sobre el nivel de protección de las entidades en Peru
▪ Una frase que describe el estado actual: “No pasan más cosas porque Dios es bueno”
▪ No conocemos la mayor parte de las que pasan, porque ya se ocupan las entidades afectadas de que no se difundan
Fases
|Nº |FASE|
|1 |Concreción de los objetivos y delimitación del alcance y profundidad de la auditoria. |
|2 |Análisis de posibles fuentes y recopilación de información |
|3 |Determinación del plande trabajo y de los recursos y plazos. |
|4 |Adaptación de cuestionarios. |
|5 |Realización de entrevistas y pruebas |
|6 |Análisis deresultados y valoración de riesgos |
|7 |Presentación y discusión del informe provisional |
|8 |Informe definitivo |
Áreas
➢ Controlesdirectivos, es decir, los fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité.
➢ Desarrollo de políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas
➢ Marco jurídico aplicable
➢ Amenazas físicas externas: inundaciones, incendios, terremotos, etc.
➢ Control de acceso adecuadotanto físicos como lógicos
➢ Protección de datos: Aplicación de la LOPD.
➢ Comunicaciones y redes: topología, cifrado, etc.
➢ Desarrollo de aplicaciones en un entorno seguro: incorporen controles en los productos desarrollados y que éstos resulten auditables.
Evaluación de riesgos
• Se trata de identificar los riesgos, cuantificar su probabilidad e impacto y analizar medidasque los eliminen.
• Para evaluarlos habrá que considerar: el tipo de información almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnología usada, marco legal aplicable, etc.
• El factor humano es el principal riesgo a considerar, salvo excepciones (sistemas automatizados)
• Habrá que considerar si la seguridad es realmente una preocupación corporativa, esdecir, si tienen una cultura de la seguridad.
• Una vez identificados y medidos los riesgos, lo mejor será eliminarlos y si no se pudiese reducirlos al máximo. Otra posibilidad es asumir los riesgos.
• Problemas: Las medidas deberán considerarse como inversiones en seguridad, aunque en algunos casos es difícil comprobar su rentabilidad.
Fuentes
o Políticas, estándares normas yprocedimientos.
o Planes de seguridad.
o Contratos, pólizas de seguros.
o Organigrama y descripción de funciones.
o Documentación de aplicaciones
o Descripción de dispositivos relacionados con la seguridad
o Manuales técnicos de sistemas operativos o de herramientas.
o Inventarios: de soportes, de aplicaciones
o Topología de redes
o Planos deinstalaciones
o Registros: de problemas, de cambios, de visitas, de accesos lógicos producido.
o Entrevistas a diferentes niveles
o Ficheros
o Programas
o La observación
o Documentación de planes de continuidad y sus pruebas
o Informes de suministradores o consultores
Seguridad Física
▪ Se evaluarán las protecciones físicas de datos, programas, instalaciones,...
Leer documento completo
Regístrate para leer el documento completo.