jueves, 29 de marzo de 2012

ASI 1- Investigación- Base de Datos



CATEDRATICO:
ING. ALFONSO A. PINEDA


INTEGRANTES:

Carlos Heriberto Fernández 20061000445

Hallan Abdelamir Argueta 20061900839

Abner Adiel Cruz Osorio 20061003085









SECCIÓN:
0801


Presentación

Informe

lunes, 26 de marzo de 2012

Aviso - Hora del exámen

Confirmo que ahora le toca a los de ASI I a las 6:00 pm y a los de ASI II a las 5:00 pm

Favor tomar nota e ignorar el aviso anterior.

Aulas por confirmar.

ASI 2 - ISO 27002: Dominio 14 Gestión de la Continuidad del Negocio




Continuando con los Dominios de la ISO 27002 (Numeral 14) o Anexo A de la ISO 27001 (Anexo A14), hoy vamos a revisar la Gestión de la Continuidad del Negocio. Que dicen la ISO 27001 e ISO 27002? Bien, incluye un objetivo de control:
14.1 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Objetivo: Contrarrestar las interrupciones en las actividades del negocio y proteger sus
procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna.

Se debería implementar un proceso de gestión de la continuidad del negocio para
minimizar el impacto y la recuperación por perdida de activos de información en la organización (la cual puede ser el resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable mediante la combinación de controles preventivos y de recuperación. En este proceso es conveniente identificar los procesos críticos para el negocio e integrar los requisitos de la gestión de la seguridad de la información de la continuidad del negocio con otros requisitos de continuidad relacionados con aspectos tales como operaciones, personal, materiales, transporte e instalaciones.

Las consecuencias de desastres, fallas de seguridad, perdida del servicio y disponibilidad del servicio se deberían someter a un análisis del impacto en el negocio. Se deberían desarrollar e implementar planes de continuidad del negocio para garantizar la restauración oportuna de las operaciones esenciales.

La seguridad de la información
debería ser una parte integral de todo el proceso de continuidad del negocio y de otros procesos de gestión en la organización.

La gestión de la continuidad del negocio deberla incluir controles para identificar y
reducir los riesgos, además del proceso general de evaluación de riesgos, limitar las consecuencias de los incidentes dañinos y garantizar la disponibilidad de la información requerida para los procesos del negocio.
Como se puede interpretar, la Norma busca que la información de la Organización SIEMPRE este disponible, y cuando no pueda estarlo, su tiempo de no disponibilidad sea lo mas reducido posible para no afectar las operaciones, al cliente, etc. Profundicemos en los requisitos:

Para llevar a cabo la gestión de continuidad del negocio en la Organización se debe definir e implementar un proceso para reducir la interrupción causada por desastres naturales, accidentes y fallos de seguridad por medio de la combinación de controles preventivos y de recuperación.

Para el aseguramiento de la restauración de los servicios y sistemas de procesos manejados en la Organización en plazos requeridos para el aseguramiento de la continuidad del negocio, se deben desarrollar e implementar planes de contingencia, los cuales deben ser probados para que se integren con todos los demás procesos de gestión.


Las consecuencias causadas por desastres naturales, fallos de seguridad y pérdidas de servicio deben ser analizadas.
Se deben definir e implementar normas y controles para la identificación y reducción de riesgos, limitar las consecuencias de incidentes dañinas y asegurar la reanudación, a tiempo, de las operaciones esenciales.
Pero que debería incluir el Plan de Continuidad de Negocio?

Se debe seguir una estrategia de recuperación alineada con los objetivos de negocio, formalmente documentada y con procedimientos perfectamente probados para asegurar la restauración de los procesos críticos del negocio, ante el evento de una contingencia.

Esta estrategia debe mantener una estructura unificada para asegurar la consistencia de todos los planes y considerar los requisitos de seguridad de la información de forma consistente. Cada Responsable de los procesos de la Organización con el acompañamiento del área del Sistemas debe diseñar, implementar, probar y mantener su Plan de Continuidad. El plan de continuidad debe considerar los siguientes aspectos:
  1. Procedimientos de contingencia. Los cuales describen las acciones a tomar cuando ocurre un incidente que interrumpe las operaciones del negocio, proporcionando mecanismos alternos y temporales para continuar con el procesamiento.
  2. Procedimientos de recuperación. Los cuales describen las acciones a seguir para trasladar las actividades del negocio a un centro alterno de recuperación.
  3. Procedimientos de retorno. Los cuales describen las acciones a seguir para regresar las operaciones normales a las instalaciones originales.
  4. Programación de pruebas. Las cuales describen la periodicidad en que el plan de continuidad debe ser probado.
  5. Actualización periódica. El plan debe actualizarse cuando cambios realizados en el ambiente operativo impacten su funcionalidad. Un análisis de impacto al negocio debe ser realizado como mínimo una vez al año, con el objeto de determinar la necesidad de la disponibilidad de la información en el grado y escala de tiempo requeridos después de una interrupción de las funciones críticas de la Organización.
  6. Consideraciones de seguridad. Es importante que el plan sea diseñado para mantener los controles de seguridad establecidos por la Organización, aún cuando se opere en modalidad de contingencia. Es responsabilidad de la Coordinación de Seguridad de la Información asegurar que estas consideraciones sean efectivamente contempladas en el plan.
  7. El Plan de Continuidad debe estar alineado con los riesgos identificados que puedan causar interrupción al servicio. Para este caso, se debe tener en cuenta las posibles consecuencias para la seguridad de la información.
Cuando se realicen pruebas, simulacros o se tengan contingencias reales, los resultados y sugerencias deben ser entregadas a los responsables de la información quienes deben actualizar sus planes y mantenerlos al día conforme los riesgos de disponibilidad lo dictaminen. Al menos cada seis meses, se deben realizar ejercicios regulares y diagramados de recuperación del sistema para probar la efectividad del plan de continuidad del negocio.

El objetivo de realizar pruebas de los planes de continuidad, es probar que el plan se
encuentre debidamente actualizado, que los procedimientos funcionan adecuadamente y que se obtiene la recuperación requerida en el tiempo programado.

Como se puede observar, idealmente un Plan de Continuidad de Negocios contiene procedimientos de contingencia, de recuperación, de retorno, de pruebas, debe ser actualizado con una periodicidad preestablecido cuando la situación lo amerite, y muy importante, estar alineado con los riesgos que se haya identificado cuya materialización u ocurrencia desemboque en interrupciones de servicio.

jueves, 22 de marzo de 2012

Fechas de Exámen 2do Parcial

Por este medio les aviso que el examen del primer parcial se ha confirmado para el Jueves 29 de Marzo 2012

En el siguiente horario:

5 p.m Auditoria en Sistemas de Información I
6 p.m Auditoria en Sistemas de Información II

Estudien mucho!!

miércoles, 21 de marzo de 2012

Comunicado de la rectora UNAH

Recién nos han comunicado que no habran clases el día de Mañana.

Nos vemos el Lunes, dejare unos temas en el blog para que lean.

Buenas Noches

ASI 2 - Guía de Ejercicios para preparación del exámen

Una empresa tiene los siguientes hallazgos encontrados por el Auditor en Sistemas:

Que riesgos y recomendaciones daría para cada uno? Que controles de la ISO 27002 aplicaría a cada uno?.

Hallazgo1 : Marco de control interno informático

Condición:
La institución no ha adoptado un marco de control interno informático, sobre el cual regir todas las prácticas de control sobre transacciones, tecnología, sistemas y procesos.

Hallazgo 2: Políticas de seguridad que no están vigentes.

Condición
Las políticas de seguridad diseñadas por la gerencia de riesgos, no han entrado en vigor a la fecha.

Hallazgo 3: Políticas de clasificación de información.

Condición
Se tiene identificada la información que para la empresa es crítica y sensible, mas no existen políticas documentadas de clasificación de información.

Hallazgo 4: Acuerdos de Confidencialidad.

Condición
No se han definido acuerdos de confidencialidad con respecto al manejo de la información manipulada por los empleados de la organización.

Hallazgo 5: Correo electrónico.

Condición.
No se han documentado políticas de envíos de información a través del correo electrónico.

Hallazgo 6: Manuales de usuario.

Condición.
No se han documentado manuales de usuario en cada uno de los módulos del sistema de información, careciendo de una herramienta de orientación.

Hallazgo 7: Falta de integración al modulo contable.

Condición.
Las operaciones y controles que se realizan en los diferentes procesos del negocio de la organización carecen de interfaz con el modulo general contable, por lo que se recurre al registro manual para realizar los asientos contables, es decir que cada uno de estos procesos son manejados de manera aislada al modulo central contable.

Hallazgo 8: Acceso a internet no controlado.
Condición
Por medio de observación directa se identifico que el acceso a internet no está controlado, de esta manera se permite el acceso a cualquiera de los sitios en la web aumentando así el riesgo de intrusiones a las redes y servidores de la organización. Algunas de las páginas que se observaron en uso fueron:
www.facebook.com
www.youtube.com

Así como también se observaron activos los chats de:
Messenger de Hotmail
Chat de facebook

Hallazgo 9: Auditoria
Condición
Auditoría interna no ha efectuado una auditoria de sistemas completa sobre las aplicaciones, procesos y personal de tecnología, de la organización, como parte del ejercicio de auditoría.

Hallazgo 10: Falta definición de roles y responsabilidades sobre seguridad.
Condición.
No se han definido y documentado los roles y responsabilidades de seguridad para los empleados (incluso antes de su contratación), proveedores y terceras partes, de acuerdo con las políticas de seguridad de la información de la organización.

Hallazgo 11: Incidentes de seguridad.
Condición.
No se han definido dentro de las políticas, el concepto de incidentes de seguridad y su tratamiento.

Hallazgo 12: Divulgación y medición de Incidentes.
Condición.
No se han documentado las actividades y entidades (internas o externas) a las cuales hay que comunicar los incidentes.