La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad Informática

Publicada porNacio Manriquez Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Seguridad Informática"— Transcripción de la presentación:

1 Seguridad Informática
M.C. Juan Carlos Olivares Rojas

2 Sistema de Gestión de Seguridad de la Información

3

4 Riesgos de Seguridad Informática

5 Riesgos de Seguridad Informática

6 Pasos Recomendados en una Estrategia

7 Evaluación de Activos

8 COBIT Control Objective for Information & related Technology.

9 ITIL IT Infrastructure Library, incluye definiciones de las mejores prácticas para la gestión de Servicios. La definición se divide en dos volúmenes: Soporte de Servicios Distribución de Servicios

10 Ejercicio 1 El Hospital “Santa Cecilia”, el cual cuenta con más de 100 años de operación en la ciudad de Monterrey, cuenta con tres hospitales satélites en donde se atienden urgencias y medicina familiar. Desde hace dos años implementó un sistema para sistematizar las historias clínicas de sus pacientes. Al momento llevan un 30% de avance en la captura de esa información, por lo que existe todavía gran cantidad de información en archivos de papel.

11 Ejercicio 1 El Hospital cuenta con más de 300 equipos de cómputo conectados a través de su red local, los cuales mantienen estrecha comunicación con el equipo central. Así mismo maneja conexiones con aseguradoras para la transferencia de información referente a trámites de sus pacientes. Hace cinco años, el hospital se conectó a Internet, ya que esto facilitaba la comunicación con sus clientes y proveedores.

12 Ejercicio 1 Existen canales de comunicación tales como el correo electrónico y mensajería, por donde fluye todo tipo de información (incluyendo la transferencia de archivos). A mediados del año pasado lanzó su portal del área de laboratorio y check up, con lo cual sus clientes pueden acceder a sus resultados de laboratorio y enviárselos a su doctor.

13 Ejercicio 1 Dentro de los planes de expansión, el hospital está considerando asociarse con la Clínica Mayo con el fin de transferir tecnología y establecer acuerdos de investigación. Actualmente el Hospital cuenta con un Centro de Investigación líder a nivel mundial en Neurocirugía y cuenta con dos investigadores que han ganado premios Nobel por las investigaciones realizadas en este campo. Esto le ha dado una ventaja competitiva a este hospital.

14 Ejercicio 1 En los próximos meses se empezará a realizar un reemplazo de equipo de cómputo y se necesita tomar una decisión sobre como disponer del equipo viejo. Con base en esta información, tú como especialista en seguridad debes de realizar un estudio de la problemática y realizar recomendaciones.

15 Ejercicio 1 De acuerdo a tu criterio, lista los activos por orden de importancia. ¿Contra que situaciones protegerías dichos activos? ¿Cómo protegerías dichos activos? ¿Qué harías con el equipo viejo?

16 Ejercicio 2 Entre los incidentes más recientes en el Hospital Santa Cecilia se cuentan los siguientes: Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.

17 Ejercicio 2 Se han reportado clientes del hospital notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo. Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.

18 Ejercicio 2 Existe software no licenciado instalado en los equipos del hospital. Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes. Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.

19 Ejercicio 2 Se han detectado accesos no autorizados a los sistemas.
¿Qué eventos de los explicados en la sesión han afectado al hospital? ¿Con base en tu experiencia que harías para corregir esta situación?

20 Ejercicio 3 Identifica qué principio y activo es el más importante para cada una de las siguientes organizaciones. Justifica tu respuesta. Secretaría de Hacienda Ejército Empresa farmacéutica Amazon.com Sistema de Escolar de una Universidad

21 Ejercicio 3 Sistema de emergencias telefónica 066
Su equipo de cómputo personal. Banco Carrier de telecomunicaciones. Coca Cola.

22 Ejercicio 4 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

23 Ejercicio 4 Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen: Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).

24 Ejercicio 4 La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías. El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:

25 Ejercicio 4 Acceso no autorizado a la información de los clientes.
Software malicioso que afecte a los principales sistemas de la empresa Denegación de servicios a su portal de Internet

26 Ejercicio 4 A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos. De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso. 

27 Ejercicio 5 La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.

28 Ejercicio 5 Lo primero que la dirección genera le ha solicitado al Director de seguridad de información es establecer una política específica del uso del dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.

29 Ejercicio 5 Escribe un reporte con está política especifica con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones: Antecedentes Objetivo Cuerpo del documento Responsabilidades Definición de términos

30 Ejercicio 6 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

31 Ejercicio 6 El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet. Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):

32 Ejercicio 6 Procedimientos de respaldos de Información
Procedimientos de control de acceso lógico a la información Procedimientos de control de cambios Procedimientos de control de software malicioso

33 Ejercicio 7 EL Hospital “El Milagro” ha estado desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos. EL director en una entrevista mencionó lo siguiente (en resumen):

34 Ejercicio 7 El área de seguridad depende del área de redes
Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad. Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.

35 Ejercicio 7 El gasto de inversión en equipos de seguridad como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado. Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados. Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.

36 Ejercicio 7 El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico. Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.

37 Ejercicio 7 De manera adicional se deben realizar las siguientes actividades: Visión de seguridad de información (a 5 años) Misión de seguridad de información Que dimensión será la más relevante en un Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación) Establecer 5 objetivos de seguridad de información.

38 Ejercicio 8 Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente: Escribe una política de seguridad corporativa (Máximo tres párrafos). Identifica tres políticas específicas que consideras deben de desarrollarse.

39 Ejercicio 8 Lista tres recomendaciones que harías a los empleados del hospital en cuanto a: Respaldo de información Correo electrónico Manejo de usuarios y contraseñas Uso de equipo de cómputo.

40 Ejercicio 9 Para el caso del Hospital Santa Cecilia, se requiere realizar un análisis de riesgo. Dado que no se cuenta con datos que sustenten un análisis cualitativo, se requiere que realices un análisis cualitativo para los tres principales activos que identifiques. Para ello deberás realizar lo siguiente: Identificar los tres principales activos que consideres.

41 Ejercicio 9 Identificar al menos una vulnerabilidad para cada uno.
Identificar al menos una posible amenaza para cada vulnerabilidad. Estimar la probabilidad de ocurrencia de esa amenaza (alta, media o baja). Calcular los riesgos de cada amenaza (Riesgo = probabilidad x Impacto). Definir el tratamiento que darás a cada riesgo (disminuirlo, transferirlo, aceptarlo).

42 Referencias Morales, R. (2008) Curso de Seguridad Informática, SI040001, ITESM. González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia.

43 ¿Preguntas, dudas y comentarios?

Descargar ppt "Seguridad Informática"

Presentaciones similares

LEY DE COMERCIO ELECTRÓNICO y DELITO INFORMÁTICO SEMINARIO - TALLER

LEY DE COMERCIO ELECTRÓNICO y DELITO INFORMÁTICO SEMINARIO - TALLER
CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
Administración de Centros de Computo / CESM

Administración de Centros de Computo / CESM
Administración de Centros de Computo

Administración de Centros de Computo
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
EVALUACION DEL PERSONAL

EVALUACION DEL PERSONAL
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
GESTION ADMINISTRATIVA

GESTION ADMINISTRATIVA
Invoices On – Line Instrucciones de Registro. 1. Ir a la siguiente dirección de Internet 2. Escoger el lenguaje para.

Invoices On – Line Instrucciones de Registro. 1. Ir a la siguiente dirección de Internet 2. Escoger el lenguaje para.
MERCADO DE DINERO UNIDAD 6: Agosto 2013

MERCADO DE DINERO UNIDAD 6: Agosto 2013
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
Introducción a los sistemas de Información Hospitalarios

Introducción a los sistemas de Información Hospitalarios
Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López

Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López
Auditoria Informática Unidad II

Auditoria Informática Unidad II

Presentaciones similares

Anuncios Google