Da I: Contenidos programticos, Conceptos bsicos

Seguridad de Sistemas
Justificacin del curso
Las operaciones de negocios y su administracin dependen en gran parte
de la tecnologa, especficamente de las tecnologas de informacin (TI)
(IT Information Technologies). Por lo tanto, las estrategias de TI deben
estar perfectamente alineadas con las estrategias de negocio.
La tendencia actual esta orientada al incremento gradual del soporte que
las TIs brindan a las estrategias de negocio. Esto genera un alto grado de
dependencia.
Conforme las empresas alcanzan mayores grados de madurez, necesitan
implementar dentro de su cultura de negocios, el aseguramiento de los
sistemas de informacin y el Gobierno de TI (IT Governance). Esto
significa, la adopcin de polticas y normativas generalmente aceptadas,
mejores prcticas, para incrementar el aseguramiento de uno de sus
mayores capitales, la informacin relativa a sus negocios.
La administracin del riesgo operativo y del riesgo financiero regularn
las estrategias de negocio. La administracin del riesgo tecnolgico
regular el aseguramiento de los sistemas de informacin.

Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Seguridad de Sistemas
Descripcin del curso
En la actualidad las tecnologas de informacin (TI) conforman el apoyo
ms importante en cualquier tipo de empresa.
El aseguramiento de los sistemas de informacin es un proceso continuo,
conforme varan y se incrementan las estrategias de negocio, aunado a
las amenazas y vulnerabilidades que se presentan en el mercado, se
elevarn los niveles de riesgo inherente a la utilizacin de tecnologa.
De acuerdo con lo anterior, es necesario brindar al estudiante los
conocimientos sobre las principales metodologas para el aseguramiento
de los sistemas de informacin y la implementacin del Gobierno de TI.

Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Seguridad de Sistemas
Objetivos generales del curso
Proporcionar al estudiante los conocimientos esenciales que le sirven para
administrar de forma eficiente el riesgo tecnolgico, en aquellas empresas
que utilizan el procesamiento electrnico de datos para procesar la
informacin econmica, contable y de toma de decisiones.
Esto implica, la capacidad de realizar diagnsticos, desarrollar proyectos
de implementacin de polticas, normativas y mejores prcticas que estn
correctamente alineadas a las estrategias de negocio y a la situacin real
de las empresas.

Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Seguridad de Sistemas
Relacin de Contenidos programticos
Unidad I: Seguridad Informtica: Conceptos,
Objetivos, Metodologas, Etapas de Madurez.

Finalidades,

Fundamentos,

Unidad II: Seguridad Informtica y Riesgos de TI: Procesos, Campos de Accin,

Relacin con otras ciencias. Riesgos.
Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI.
Unidad IV: Metodologas, polticas y normativas, Organizaciones internacionales,
Mejores practicas, Hacking tico, Herramientas administrativas.
Unidad V: mbitos de control fsico y lgico, Controles, Aseguramiento del Data
Center, Aseguramiento de la calidad de los servicios, Estrategias tecnolgicas.
Unidad VI: Anlisis forense informtico: Manejo de incidentes, Marco normativo,
Metodologas, Experiencias concretas, Evidencia digital.
Unidad VII: Logstica: Toma de decisiones criticas, Manejo de presupuestos,
Dificultades, Resea sobre BCP & DRP, Retos y proyecciones de TI,
Especializaciones.

Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Seguridad de Sistemas
Principios de Ingeniera
Lo que no se puede medir, no se puede mejorar, al menos
por metodologas cuantitativas
Los mtodos de medicin utilizados en Ingeniera, deben ser
precisos, concisos y concretos, para que puedan convertirse en
poderosas herramientas, tanto para la resolucin de problemas,
como para la optimizacin de procesos.

Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Conceptos Bsicos

Fase IV:
Corporativos

Fase I:
Auditora Interna

Fases de la
Seguridad
Informtica
Fase III:
Regulatorios

Fase II:
Auditora
Externa

Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Conceptos Bsicos
Fases de la Seguridad Informtica
Fase I: Auditora Interna
En sus componentes bsicos, aquella entidad interna en la Organizacin, que
realiza las funciones administrativas del control y supervisin, especialmente
de los gastos (ej. Departamento de Contabilidad, Jefe de Administracin).
En sus componentes avanzados, aquella entidad interna en la Organizacin,
que realiza funciones de Auditora, implementando aquellos controles
necesarios.
Fase II: Auditora Externa
Aquella entidad externa a la Organizacin, que realiza funciones de
Auditora, realizando las observaciones y recomendaciones resultantes, a la
Gerencia de la Organizacin.
Puede presentarse de manera opcional o de manera mandatoria (caso de los
Bancos, Entidades Financieras, Aseguradoras, Almacenadoras).
Definicin de Auditora de Sistemas :
El examen o revisin de carcter objetivo (independiente), critico
(evidencia), sistemtico (normas), selectivo (muestras) de las polticas,
normas,
prcticas,
funciones,
procesos,
procedimientos
e
informes
relacionados con los sistemas de informacin computarizados.
Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Conceptos Bsicos
Fases de la Seguridad Informtica
Fase III: Regulatorios
Aquellos regulaciones que son establecidas por medio de:
Legislatorios normales:
Leyes de aplicacin a nivel nacional, regional o internacional (ej. Cdigo de Trabajo,
Ley de Acceso a la Informacin Pblica)
Legislatorios por Mandato:
Leyes de aplicacin especialmente dirigidas al sector de negocios al que se dedica
la Organizacin (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y
Contrataciones del Estado)
Normativas generalmente aceptadas :
Aquellas normativas plenamente establecidas a nivel nacional o internacional, que
se han convertido en el estndar de facto, para la implementacin de polticas,
procesos y procedimientos (ej. ISO/9001 - Estndares de Calidad, COBIT
Auditora de Sistemas, ITIL Procesos y Procedimientos)
Fase IV: Corporativos
Aquellas Organizaciones que pertenecen a un Corporativo de orden superior, sea a
nivel nacional o internacional, regularmente realizan la implementacin de polticas,
procesos y procedimientos Internos, que se originan desde la Casa Matriz.
Estas implementaciones regularmente estn regidas en base a Polticas Globales,
las cuales se tropicalizan para el mbito de aplicacin de cada pas (ej. Polticas
Globales de Gestin de Talento Humano)
Curso: Seguridad de Sistemas

9/2/16

Da I: Contenidos programticos, Conceptos bsicos

Conceptos Bsicos
Esquemas de Aseguramiento de Informacin
Esquema Prohibitivo
Caractersticas:
Bastante laborioso
Bastante desgastante
Proceso a largo plazo
Alta periodicidad

ua
Eval

Prohibir
TODO lo
necesari
o
Establecer
elementos de
juicio

Orientacin:
Listas negras
Listas de prohibiciones
Listas de actividades

Aplicaciones ejemplo:
Regular el tiempo de navegacin en la Web, a los usuarios
horarios para el uso de redes sociales y servicios pblicos
WordPress, etc)
Emisin de correos electrnicos al exterior, regulados
destinatario, evitando el envo a dominios de correo
(Hotmail, Gmail, Yahoo, etc)
Curso: Seguridad de Sistemas

9/2/16

finales, estableciendo
(Facebook, BlogSpot,
por el dominio del
electrnico pblicos
9

Da I: Contenidos programticos, Conceptos bsicos

Conceptos Bsicos
Esquemas de Aseguramiento de Informacin
Permitir
SOLAMENTE
lo necesario

Esquema Permisivo
Caractersticas:
Bastante laborioso
Poco desgastante
Proceso a corto o mediano plazo
Baja periodicidad

Evaluar

Orientacin:
Hardening de servicios
Restriccin de recursos compartidos
Focalizar servicios de telecomunicaciones
Asegurar la conectividad

Esquem
a
Permisiv
o

Prohibir
TODO

Establecer
elementos
de juicio

Aplicaciones ejemplo:
Hardening de servicios tecnolgicos, al establecer aquellas funciones de Bases de
Datos, sistemas Operativos, etc, que deben permanecer habilitadas y/o reguladas,
deshabilitando el resto
Restriccin
de recursos compartidos, como Carpetas, Impresoras, MultiFuncionales, etc, que deben estar disponibles solamente para aquellos usuarios que
estn autorizados para utilizarlos
Curso: Seguridad de Sistemas

9/2/16

10

Da I: Contenidos programticos, Conceptos bsicos

Prcticas

Propuestas de Prcticas a desarrollar al finalizar este Da:

1. Desarrollo de Foros sobre los siguientes temas:
Dependencia de las empresas sobre las TICs (Tecnologas de Informacin
y Comunicaciones), factores que generan ALZAS en dichas dependencias
Importancia del conocimiento y experiencia, sobre Seguridad de
Sistemas, Auditora de Sistemas, Riesgo Tecnolgico
Reconocimiento de las Fases de la Seguridad Informtica
2. Propuestas de Ante-Proyectos:
Presentar propuestas de Ante-Proyectos relacionados con aplicacin del
Esquema PROHIBITIVO de Aseguramiento de Informacin
Presentar propuestas de Ante-Proyectos relacionados con aplicacin del
Esquema PERMISIVO de Aseguramiento de Informacin

Curso: Seguridad de Sistemas

9/2/16

11