Auditoria_de_Sistema de Gestion-Seguridad

Views:
 
Category: Entertainment
     
 

Presentation Description

No description available.

Comments

Presentation Transcript

Slide 1: 

Desarrollo y Mantenimiento de Sistemas Integrantes: Ligia Aguirre Mayra Rivera Fernando Yépez Evelyn Peña Mario Cruz Luis Fierro Auditoria de Sistemas de Gestión

DESARROLLO Y MANTENIMIENTO DE SISTEMAS : 

Desarrollo y Mantenimiento de Sistemas DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requerimientos de Seguridad de los Sistemas : 

ESPOL-ICM-ING. AUDITORIA Y CONTROL DE GESTION Requerimientos de Seguridad de los Sistemas Análisis y especificaciones de los requerimientos de Seguridad

Requerimientos de Seguridad de los Sistemas : 

Requerimientos de Seguridad de los Sistemas

Requerimientos de Seguridad de los Sistemas : 

Requerimientos de Seguridad de los Sistemas

Requerimientos de Seguridad de los Sistemas : 

Requerimientos de Seguridad de los Sistemas

Seguridad en los Sistemas de Aplicación : 

ESPOL-ICM-ING. AUDITORIA Y CONTROL DE GESTION Seguridad en los Sistemas de Aplicación Validación de datos de entrada Controles de procesamiento interno Autenticación de mensajes Validación de los datos de salida

Requerimientos de Seguridad de los Sistemas : 

Requerimientos de Seguridad de los Sistemas

Seguridad en los Sistemas de Aplicación : 

Seguridad en los Sistemas de Aplicación VALIDACION DE LOS DATOS DE ENTRADA ASEGURAR QUE SON CORRECTOS Y APROPIADOS CONTROLES APLICADOS A ENTRADAS DE TRANSACCIONES, DATOS PERMANENTES, TABLAS DE PARAMETROS

Seguridad en los Sistemas de Aplicación : 

Seguridad en los Sistemas de Aplicación CONTROLES DE PROCESAMIENTO INTERNO AREAS DE RIEGOS CONTROLES Y VERIFICACIONES

Seguridad en los Sistemas de Aplicación : 

Seguridad en los Sistemas de Aplicación AUTENTICACION DE MENSAJES CAMBIOS NO AUTORIZADOS EN EL CONTENIDO DE UN MENSAJE TRANSMITIDO ELECTRÓNICAMENTE IMPLEMENTADO EN HARDWARE Y SOFTWARE

Seguridad en los Sistemas de Aplicación : 

Seguridad en los Sistemas de Aplicación VALIDACION DE DATOS DE SALIDA GARANTIZAR QUE EL PROCESAMIENTO DE LA INFORMACIÓN ALMACENADA SEA CORRECTO Y ADECUADO

Slide 13: 

Desarrollo y Mantenimiento de Sistemas CONTROLES CRIPTOGRAFICOS RIESGO

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS : 

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS EVALUACION DE RIESGOS NIVEL PROTECCION DE LA INFORMACION ¿ ADECUADO O NO? INTRODUCCION

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS : 

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS DESARROLLAR UNA POLITICA MAXIMIZAR BENEFICIOS Y MINIMIZAR RIESGOS RIESGO BENEFICIO POLITICA

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS : 

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS AL DESARROLLAR UNA POLITICA SE DEBE CONSIDERAR: ENFOQUE GERENCIAL. ENFOQUE RESPECTO A LA ADMINISTRACION DE CLAVES. RECUPERACION INFORMACION CIFRADA FUNCIONES Y RESPONSABILIDADES. IMPLEMENTACION DE LA POLITICA. ADMINISTRACION DE LAS CLAVES. DETERMINAR EL NIVEL DE PROTECCION. ESTANDARES.

CIFRADO : 

CIFRADO PROTEGER LA CONFIDENCIALIDAD DE LA INFORMACION. INFORMACION SENSIBLE O CRITICA. E.R. NIVEL PROTECCION TIPO Y CALIDAD DEL ALGORITMO CIFRADO LONGITUD DE CLAVES CRIPTOGRAFICAS. INTRODUCCION

CIFRADO : 

CIFRADO AL IMPLEMENTAR LA POLITICA: NORMAS Y RESTRICCIONES NACIONALES. FLUJO DE INFORMACION CIFRADAS A TRAVÉS DE LAS FRONTERAS. CONTROLES A LA EXPORTACION E IMPORTACION DE TECNOLOGIA CRIPTOGRAFICA. NOTA: ASESORAMIENTO ESPECIALIZADO: NIVEL PROTECCION. SELECCIONAR PRODUCTOS ASESORAMIENTO JURIDICO.

FIRMA DIGITAL : 

FIRMA DIGITAL INTRODUCCION PROTECCION A LA AUTENTICIDAD E INTEGRIDAD DE LOS DOCUMENTOS ELECTRONICOS. FIRMAR PAGOS, TRANFERENCIAS DE FONDOS, CONTRATOS, CONVENIOS ELECTRONOCOS.

FIRMA DIGITAL : 

FIRMA DIGITAL PUEDEN IMPLEMENTARSE USANDO UNA TÉCNICAS CRIPTOGRÁFICA. CLAVES RELACIONADAS: CLAVE PRIVADA CLAVE PÚBLICA CONSIDERAR EL TIPO Y LA CALIDAD DEL ALGORITMO DE FIRMA, LONGITUD DE CLAVES. NOTA: CONSIDERAR LA LEGISLACION. CONTRATOS DE CUMPLIMIENTO U OTROS ACUERDOS.

Administración de Claves : 

Desarrollo y Mantenimiento de Sistemas Administración de Claves Servicios de no Repudio

Protección de claves criptográficas : 

Desarrollo y Mantenimiento de Sistemas Protección de claves criptográficas

Normas, procedimientos y métodos : 

Desarrollo y Mantenimiento de Sistemas Normas, procedimientos y métodos

Servicios de no Repudio : 

Desarrollo y Mantenimiento de Sistemas Servicios de no Repudio

Normas, procedimientos y métodos : 

Desarrollo y Mantenimiento de Sistemas Normas, procedimientos y métodos Considerar procedimientos para administrar requerimientos legales de acceso a claves criptográficas. Ej: Tener información (cifrada) en una forma clara la cual es necesaria para un caso judicial.

Normas, procedimientos y métodos : 

Desarrollo y Mantenimiento de Sistemas Normas, procedimientos y métodos

Garantizar que los proyectos y actividades de soporte de TI se lleven a cabo de manera segura. Seguridad de los Archivos del Sistema

Control del Software Operativo : 

Control del Software Operativo La actualización de las bibliotecas de programas operativos solo debe ser realizada por el bibliotecario designado una vez autorizada adecuadamente por la gerencia. Si es posible, los sistemas en operaciones sólo deben guardar el código ejecutable.

Slide 29: 

Desarrollo y Mantenimiento de Sistemas El código ejecutable no debe ser implementado en un sistema operacional hasta tanto no se obtenga evidencia del éxito de las pruebas y de la aceptación del usuario, y se hayan actualizado las correspondientes bibliotecas de programas fuente.Se debe mantener un registro de auditoria de todas las actualizaciones a las bibliotecas de programas operativos.Las versiones previas de software deben ser retenidas como medida de contingencia.

El mantenimiento del software suministrado por el proveedor y utilizado en los sistemas operacionales debe contar con el soporte del mismo. Los parches de software deben aplicarse cuando pueden ayudar a eliminar o reducir las debilidades en materia de seguridad. Solo debe otorgarse acceso lógico o físico a los proveedores con fines de soporte y si resulta necesario, y previa aprobación de la gerencia. Las actividades del proveedor deben ser monitoreadas : 

El mantenimiento del software suministrado por el proveedor y utilizado en los sistemas operacionales debe contar con el soporte del mismo. Los parches de software deben aplicarse cuando pueden ayudar a eliminar o reducir las debilidades en materia de seguridad. Solo debe otorgarse acceso lógico o físico a los proveedores con fines de soporte y si resulta necesario, y previa aprobación de la gerencia. Las actividades del proveedor deben ser monitoreadas

Protección de los datos de prueba del sistema : 

Protección de los datos de prueba del sistema Los datos de prueba deben ser protegidos y controlados. Las pruebas de aceptación del sistema normalmente requieren volúmenes considerables de datos de prueba, que sean tan cercanos como sea posible a los datos operativos. Se debe evitar el uso de bases de datos operativas que contengan información personal. Si se utiliza información de esta índole, esta debe ser despersonalizada antes del uso

Controles para proteger los datos operativos cuando se utilizan con propósitos de prueba. : 

Controles para proteger los datos operativos cuando se utilizan con propósitos de prueba. Los procedimientos de control de accesos, que se aplican a los sistemas de aplicación en operación deben aplicarse a los sistemas de aplicación de prueba. Se debe llevar a cabo una autorización por separado cada vez que se copia información operativa a un sistema de aplicación de pruebas. Se debe borrar la información operativa de un sistema de aplicación de prueba inmediatamente después de completada la misma. La copia y el uso de información operacional deben ser registrados a fin de suministrar una pista de auditoria.

Control de acceso a las bibliotecas de programa fuente : 

Desarrollo y Mantenimiento de Sistemas Control de acceso a las bibliotecas de programa fuente Se debe mantener un control estricto del acceso a las bibliotecas de programa fuente, según los siguientes puntos: Dentro de lo posible, las bibliotecas de programas fuente no deben ser almacenadas en los sistemas que está operativo. Se debe designar a un bibliotecario de programas para cada aplicación. El personal de soporte de TI no debe tener acceso irrestricto a las bibliotecas de programas fuente.

Slide 34: 

Se debe designar a un bibliotecario de programas para cada aplicación. El personal de soporte de TI no debe tener acceso irrestricto a las bibliotecas de programas fuente. Los programas en desarrollo o mantenimiento no deben ser almacenados en las bibliotecas de programas fuente operacional. La actualización de bibliotecas de programas fuente y la distribución de programas fuente a los programadores, solo debe ser llevada a cabo por el bibliotecario designado, con la autorización del gerente de soporte de TI para la aplicación pertinente. Los listados de programas deben ser almacenados en un ambiente seguro. Se debe mantener un registro de auditoria de todos los accesos a las bibliotecas de programa fuente.

Slide 35: 

Las viejas versiones de los programas fuente deben ser archivadas con una clara indicación de las fechas y horas precisas en las cuales estaban en operaciones, junto con todo el software de soporte, el control de tareas, las definiciones de datos y los procedimientos. El mantenimiento y la copia de las bibliotecas de programas fuente deben estar sujeta a procedimientos estrictos de control de cambios

authorStream Live Help