La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad y Auditoria de Sistemas Ciclo 2009-2 Conceptos básicos de Riesgos y Seguridad Ing. Yolfer Hernández, CIA.

Presentaciones similares


Presentación del tema: "Seguridad y Auditoria de Sistemas Ciclo 2009-2 Conceptos básicos de Riesgos y Seguridad Ing. Yolfer Hernández, CIA."— Transcripción de la presentación:

1

2 Seguridad y Auditoria de Sistemas Ciclo Conceptos básicos de Riesgos y Seguridad Ing. Yolfer Hernández, CIA

3 Presentación de la asignatura. Definición de los temas de investigación. Recursos, Amenazas, Riesgos y Controles. Temario

4 Presentación de la asignatura INGENIERO DE SISTEMAS Seguridad de SistemasAuditoría de Sistemas Conceptos y definiciones Herramientas Métodos Recomendaciones prácticas. Tendencias actuales.

5 Estructura de la Asignatura 13 Clases de 3 Horas. 2 Trabajos de Evaluación continua (sem. 6 y 13-14). Evaluación Parcial (sem.8). Evaluación Final (sem.15).

6 NF=0,20*EC1+ 0,25*EA+ 0,30*EC2+ 0,25*EB Sistema Evaluativo Leyenda: EA: Evaluación Parcial. EB: Evaluación Final. EC: Evaluación Contínua. (Avance, Investigación, Exposición y Sustentación).

7 Bibliografía TIPTON, H Information Security Management Handbook. WEBER, Ron Information Systems Control and Audit. PIATTINI, Mario Auditoria Informática, un enfoque práctico. NASH Andrew, et.al: PKI: Infraestructura de claves públicas Mc Graw Hill Iberoamericana S.A.

8 Temas de Investigación 1 Integridad de información Métodos y algoritmos: CRC, Suma de Comprobación, Controles de Paridad, otros. En Bases de Datos (DBMS) En Dispositivos: Discos, CDs, USB, Memorias en Tarjetas, etc. En Comunicaciones: IPSEC, VPN, WAP, WEP, SSH, https, ftps, etc. 2 Métodos de Criptografía y protección Algoritmos: Hash, MD5, SHA Simétricos: DES, 3DES, AES, Rijndael, IDEA, RC4, etc Asimetricos: RSA, Diffie-Hellman, Rabin, ElGamal, etc Métodos y Herramientas: PKI (Public key Infrastructure), Firma digital, Certificados digitales, SSL, SET (Secure Electronic Transactions), PGP (Pretty Good Privacy), PMI (Privilege Management Infrastructure). Criptografía cuántica, fractal, etc. Computación Cuántica 3 Identificación personal de acceso Algo que conoces: Firma Digital, PIN, Sistemas Integrales: Para negocios Algo que tienes: Tarjetas Smart Cards, Rusco, RFID (Radio Frecuencia) Algo que eres: Sistemas Biométricos, Firma digital Regulaciones Internacionales y Peruanas sobre Sistemas de Identificación, Protección de Datos, etc. 4 Protección de accesos según plataformas tecnológicas Mainframe: OS390, Z10, AS400 UNIX, Linux Windows 2003, XP, Vista Servidores de Seguridad: LDAP, Firewall, etc. 5Intrusión y violación Programas intrusivos: Spam, Hoax, Virus: Klez-Elkern, Pharmings, Troyanos, Backdoor, Spyware, Spoofing, Phreaker, Gusanos, Adware, Malware Métodos de Ataque: Phishing, Ataque de denegación de servicio, Ingeniería social Organizaciones: Hackers, Crackers, Hacking ético, Robo de Información, crimen organizado Vulnerabilidades: Actualizaciones no instaladas, Puertos abiertos, Agujeros de Seguridad en las Redes, Debilidades de Control Sistemas y herramientas de prevención y detección: Firewalls, IDS, IPS, DLP, IWSS, IMSS Regulaciones Internacionales y Peruanas: Políticas de Seguridad, Plan de Seguridad Informática, etc. 6 Seguridad física y continuidad operativa Seguridad Física Plan de Continuidad de Negocios Regulaciones Internacionales y Peruanas sobre Seguridad Física y Planes de Contingencia 7Gestión de Riesgos Metodologías y software de Gestión de Riesgos: Magerit, PMI-Pmbok (Project Management Inst), MSF (Microsoft Solution Framework - Risk Management) Regulaciones Internacionales y Peruanas sobre Riesgos, Basilea II, etc

9 Recursos Instalaciones y Activos | Infraestructura Tecnológica o Hardware o Software o Información Explotación Tecnológica Recursos Humanos

10 Recursos - Identificación Intangibles: Tangibles: Computadoras, registros de datos, registros de auditoría, manuales, libros, discos, etc. Seguridad y salud del personal, privacidad de usuarios, contraseñas, imagen pública, etc.

11 Vulnerabilidades Debilidades o agujeros en la seguridad de la organización Puntos y control de acceso (lógicos y físicos) Falta de Mantenimiento Personal sin conocimiento Desactualización de sistemas críticos

12 Amenazas / Ataques Desastres Naturales Errores Humanos y Procedimentales Errores Tecnológicos: Hardware y Software Actos Malintencionados Entorno de la Empresa: Competidores

13 Ataques Provocados por la naturaleza Lluvias, inundaciones, terremotos, rayos, etc.

14 Ataques Provocados por el hombre Hackers, crackers, piratas. Virus. Escucha electrónica Ataques físicos

15 Proporciones 20% 80% ExternosInternos

16 Procedencia de los ataques Externa. Interna. Administrativos. Ingenieros. Operadores. Programadores. Auxiliares. Competidores. Usuarios. Delincuentes.

17 Posibles acciones de los competidores sabotaje espionaje robo de programas soborno

18 Posibles acciones de los usuarios Obtención de información. Entrega de información a competidores.

19 Infección viral Archivo Infectado Transmisión Reproducción INFECCIÓN

20 Tendencias de los ataques

21

22 Posibles acciones de los administrativos Falsificar información. Entrega de información a externos.

23 Posibles acciones de los ingenieros Activar defectos. Acceder a los sistemas de seguridad.

24 Posibles acciones de los operadores Destruir archivos. Copiar archivos.

25 Posibles acciones de los programadores Introducir fallas. Robar programas o datos.

26 Posibles acciones de los auxiliares Vender reportes o duplicados. Buscar informaciones

27 Riesgos Es la posibilidad de que ocurra un acontecimiento que pudiera afectar el logro de los objetivos de la organización. El riesgo se mide en términos de impacto y probabilidad.

28 Riesgos - Definiciones Riesgo del Negocio: Aquellos que pueden afectar la viabilidad a largo plazo de un determinado negocio o de la empresa en su conjunto. Riesgo Inherente: Posibilidad de errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control. Riesgo de Control: Posibilidad de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna. Riesgo Residual: Es el riesgo que no esta considerado dentro de los sistemas de control implantados.

29 Riesgos - tipos básicos Pérdida de confidencialidad Pérdida de integridad Pérdida de disponibilidad Pérdida de Activos

30 Controles Procesos, herramientas, procedimientos, métodos, acciones, etc. que permiten mitigar los riesgos en función al costo / beneficio definido por la organización.

31 Sistema de Control Interno Mapa de Recursos (Procesos) GESTIÓN DEL NEGOCIO Modelo de Riesgos Modelo de Controles Evaluación de Controles

32 Conclusiones No existe ninguna organización a salvo de ataques a sus sistemas informáticos. No existe ningún sistema informático, ni organización absolutamente seguros. Subjetivo: existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza


Descargar ppt "Seguridad y Auditoria de Sistemas Ciclo 2009-2 Conceptos básicos de Riesgos y Seguridad Ing. Yolfer Hernández, CIA."

Presentaciones similares


Anuncios Google