1 / 10

SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA

Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información y Apoyo Sindicatura de Comptes de la Comunitat Valenciana Vitoria, 7 de mayo de 2009 asalom@sindicom.gva.es. SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA. SEGURIDAD DE LA INFORMACIÓN.

jesse
Download Presentation

SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Alejandro Salom CamposUnidad de Auditoría de Sistemas de Información y ApoyoSindicatura de Comptes de la Comunitat ValencianaVitoria, 7 de mayo de 2009asalom@sindicom.gva.es SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA

  2. SEGURIDAD DE LA INFORMACIÓN • La seguridad de la información siempre ha sido una ocupación del Consell y del Departamento de Sistemas de la Sindicatura de Comptes de la Comunitat Valenciana. Sobre esta materia se ha avanzado mucho en los últimos años: • Normas para los usuarios de los sistemas información • Copias de seguridad de la información, discos en espejo, cintas, copias externas • Normas sobre gestión de usuarios y contraseñas • Políticas de autenticación de usuarios • Seguridad física de servidores y demás activos de SI • Servidores DMZ • Otras normas y medidas de seguridad SI

  3. SEGURIDAD DE LA INFORMACIÓN • Con el inicio de la función de auditoría de sistemas de información sobre los entes fiscalizados, el nivel de exigencia sobre la seguridad de la información nuestra organización, no puede ser menor que el que recomendamos a nuestros auditados. • La Sindicatura de Comptes ha iniciado la adaptación de su normativa y procedimientos de seguridad de SI a las normas sobre seguridad de la información reconocidas internacionalmente: • ISO 27002 • COBIT

  4. SEGURIDAD DE LA INFORMACIÓN • La Plasmación de la aplicación de estándares internacionales sobre seguridad de la información en la Sindicatura de Comptes ha sido la aprobación el 25/02/09 por el Consell de la Sindicatura de las siguientes normas: • Políticas generales de gestión y seguridad de los sistemas de información (SI) de la Sindicatura • Procedimientos de seguridad de la información en el área de fiscalización • Procedimientos de seguridad de la información para el archivo de documentos (electrónicos y en soporte papel) • Normas generales de uso y seguridad de los SI • Plan de continuidad de negocio y de recuperación frente a desastres

  5. SEGURIDAD DE LA INFORMACIÓN • Políticas generales de gestión y seguridad de los SI • Compromiso respecto al objetivo la seguridad de la información: integridad, disponibilidad y confidencialidad • Atribución de responsabilidades sobres seguridad de la información • Norma de obligado cumplimiento • Creación de la Comisión de Informática y de Gestión de la Seguridad de los SI • Asignación de la dirección sobre la seguridad de la información • Base para el desarrollo normativo: control de cambios, seguridad usuarios, análisis de riesgos, …

  6. SEGURIDAD DE LA INFORMACIÓN • Normas generales de uso y seguridad de los SI de la Sindicatura de Comptes • Contempla normas en relación con: • Utilización y seguridad de los equipos • El entorno de trabajo • Acceso a aplicaciones y servicios: Internet, correo electrónico, usuarios y contraseñas, antivirus, ficheros de trabajo, límites de espacio en servidores, …

  7. SEGURIDAD DE LA INFORMACIÓN • Procedimientos de seguridad en el área de fiscalización • Incluye normas respecto a: • Ubicación de los ficheros de trabajo • Uso de ordenadores portátiles • Uso de dispositivos portátiles • Notificación de pérdidas, hurtos, robos de dispositivos informáticos e información • En relación con la remisión de información • En relación con la información en soporte papel

  8. SEGURIDAD DE LA INFORMACIÓN • Procedimientos de seguridad de la información para el Archivo • Establecimiento de la ubicación de los ficheros • Usuarios con acceso a la información • Procedimientos de remisión de la información en soporte informático al Archivo • Normas de solicitud y acceso a la información del Archivo en soporte informático • Controles sobre accesos a los ficheros del archivo • Aplicaciones de lectura de la información del archivo • Registro de incidencias • Seguridad física

  9. SEGURIDAD DE LA INFORMACIÓN • Plan de continuidad de negocio y recuperación frente a desastres • Identificación responsables para la recuperación • Clasificación incidentes • Clasificación activos de SI • Procedimientos de recuperación para cada uno de los procesos • Copias de seguridad internas y externas • Objetivos de tiempo de recuperación: 24 días desastre total, 9 días desastre parcial, 4 horas desastre menor, 2 horas incidencias menores • Objetivos de punto de recuperación: 36 horas desastre total y parcial, 24 horas desastre menor e incidencias menores • Plan de pruebas

  10. SEGURIDAD DE LA INFORMACIÓN • Trabajo pendiente a través Comisión Informática y de Gestión de Seguridad de la Información: • Seguimiento de normas y controles establecidos • Propuesta de nuevas normas o de modificación de las aprobadas

More Related