Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

12. Adquisición, desarrollo y mantenimiento de los sistemas

No description
by

norma patricia enriquez

on 11 October 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of 12. Adquisición, desarrollo y mantenimiento de los sistemas

A. 12
A. 12
12.1 Requerimientos de seguridad de los sistemas de información

Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información.
12.2 Procesamiento correcto en las aplicaciones
Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información
en las aplicaciones.
12.3 CONTROLES CRIPTOGRÁFICOS.
Objetivo: proteger la integridad, autenticidad y confidencialidad a través de medios criptográficos.
12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA.
Objetivo: Garantizar la seguridad de los archivos del sistema.

12.1.1 Análisis y especificación de los requerimientos de seguridad.
Adquisición, mantenimiento y desarrollo de los sistemas de información.
Se deben identificar y acordar los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de información
Se deben identificar todos los requerimientos de seguridad en la fase de requerimientos de un proyecto, además de ser justificados. acordados y documentados.
Deberían reflejar el valor comercial de los activos así como el daño comercial que podría resultar de una falla o ausencia de seguridad.
La gerencia puede desear hacer uso de productos evaluados y certificados independientemente.
Se deben diseñar controles apropiados en las aplicaciones para asegurar un procesamiento correcto.
12.2.1 VALIDACIÓN DE LA ENTRADA DE DATOS.
Validación de la entrada de datos para que los datos sean correctos y apropiados.

12.2.2 CONTROL DE PROCESAMIENTO INTERNO.
Se deberán de incorporar los chequeos de validación en las aplicaciones para detectar cualquier corrupción de la información a través de errores de procesamiento o actos deliberados.
12.2.3 INTEGRIDAD DEL MENSAJE.
Identificar los requerimientos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones; identificar e implementar controles apropiados.
12.2.4 VALIDACIÓN DE LA SALIDA DE DATOS.
Validar la salida de datos de una aplicación para asegurar el procesamiento de la información almacenada sea el correcto y apropiado para las circunstancias.
Se deberá desarrollar una política sobre el uso de controles criptograficos.se deberá establecer una gestión clave para sostener el uso de técnicas criptográficas.
12.3.1 POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRÁFICOS
Se deberá desarrollar e implementar una política sobre el uso de controles criptográficos para proteger la información.
Al implementar una técnica criptográfica se deberán considerar las regulaciones y restricciones nacionales además de los problemas de flujo inter-fronteras de la información codificada.
Si la solución criptográfica es apropiada se deberá considerar como parte de un proceso de evaluación del riesgo y selección de controles.
Se debe buscar asesoría especialista para identificar el nivel de protección apropiado y definir las especificaciones adecuadas.
12.2.2 GESTIÓN DE CLAVES.
Se debe establecer la gestión de claves para dar soporte al uso de técnicas criptográficas.
Las claves criptográficas deberán estar protegidas contra la modificación, pérdida y destrucción además las claves secretas y privadas necesitan protección contra la divulgación no autorizada. ademas de proteger físicamente el equipo utilizado para general las claves.
Para poder reducir la posibilidad de comprometer las claves se deberán definir fechas de activación y desactivación.
Se debe controlar el acceso a los archivos del sistema y el código fuente del programa, y
los proyectos TI y las actividades de soporte se debieran realizar de una manera segura.
12.4.1 Control del software operacional
Establecer procedimientos para el control de la instalación del software en los
sistemas operacionales.
El software provisto por un vendedor y utilizado en el sistema operacional se debiera mantener
en el nivel donde recibe soporte del proveedor.

La organización debiera considerar
los riesgos de trabajar con software que no cuenta con soporte
Para actualizar una versión del se deberá tomar en cuenta los requerimientos comerciales para el cambio y la seguridad de la versión.
12.4.2 Protección de los datos del sistema
Los datos de prueba se debera seleccionar cuidadosamente, y se debiera proteger y controlar.

Se debe evitar el uso de bases de datos operacionales conteniendo información personal o
cualquier otra información confidencial para propósitos de pruebas.
Si la información personal
o de otra manera confidencial se utiliza para propósitos de prueba, todos los detalles
confidenciales debieran ser removidos o modificados más allá de todo reconocimiento antes de utilizarlos.
12.4 3 Control de acceso al código fuente del programa
Se debiera restringir el acceso al código fuente del programa.
El acceso al código fuente del programa y los ítems asociados se debieran controlar
estrictamente para evitar la introducción de una funcionalidad no-autorizada y para evitar
cambios no-intencionados
12.5 Seguridad en los procesos de desarrollo y soporte

12.6 Gestión de la Vulnerabilidad Técnica
Objetivo: Mantener la seguridad del software y la información del sistema de aplicación.
Los gerentes responsables por los sistemas de aplicación también debieran ser responsables por la seguridad del ambiente del proyecto o el soporte.
12.5.1 Procedimientos del control del cambio
Se debiera controlar la implementación de los cambios mediante el uso de procedimientos
formales para el control del cambio.
Se debe documentar y hacer cumplir los procedimientos formales de control del cambio para minimizar la corrupción de los sistemas de información.
Este proceso debiera incluir una evaluación del riesgo, análisis de los impactos del cambio y la especificación de los controles de seguridad necesarios. Este proceso también debiera asegurar que los procedimientos de seguridad y control existentes no se vean comprometidos.
12.5.2 Revisión técnica de la aplicación después de cambios en el sistema
Cuando se cambian los sistemas se debieran revisar y probar las aplicaciones críticas para asegurar que no exista un impacto adverso sobre las operaciones organizacionales o en la seguridad.

12.5.3 Restricciones sobre los cambios en los paquetes de software
No se debieran fomentar modificaciones a los paquetes de software, se debieran limitar a los cambios necesarios y todos los cambios debieran ser estrictamente controlados.

Se debieran utilizar los paquetes de software suministrados por vendedores sin modificaciones
Se debiera mantener el software original y se debieran aplicar los
cambios en una copia claramente identificada.
Todos los cambios debieran ser completamente probados y documentados, de manera
que puedan ser reaplicados
Las modificaciones debieran probadas y validadas
12.5.4 Filtración de información
Evitar las oportunidades para la filtración de información.
Evitar el acceso no-autorizado a la red, así como las políticas y procedimientos para no fomentar el mal uso de los servicios de información por parte del personal
12.5.5 Desarrollo de software abastecido externamente.
El desarrollo del software abastecido externamente debiera ser supervisado y monitoreado por la organización.
Objetivo: Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.
12.6.1 Control de las vulnerabilidades técnicas
Obtener oportunamente la información sobre las vulnerabilidades técnicas de los
sistemas de información que se están utilizando
Un inventario actual y completo de los activos es un prerrequisito para la gestión efectiva de la vulnerabilidad técnica. La información específica necesaria para apoyar la
gestión de la vulnerabilidad técnica incluye al vendedor del software, números de la versión,
estado actual del empleo y la(s)
persona(s) dentro de la organización responsable(s) del software.

El correcto funcionamiento del proceso de gestión de la vulnerabilidad técnica de la
organización es crítico para muchas organizaciones y por lo tanto, debiera ser monitoreado regularmente.
Full transcript