La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Milthon J. Chavez Seguridad, protección y certificación de la Información Mayo 2008.

Publicada porEladio Olvera Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Milthon J. Chavez Seguridad, protección y certificación de la Información Mayo 2008."— Transcripción de la presentación:

1

2 Milthon J. Chavez Seguridad, protección y certificación de la Información Mayo 2008

3 AGENDA Seguridad de la Información Protección de la Información –Ataques a los sistemas –Prevención Certificación de la Información Propuestas para la acción

4 Seguridad de la Información ¿Qué aseguramos?

5 Seguridad de la Información CONFIDENCIALIDAD Asegurar que las información sea accesible solo a los autorizados para tener acceso. INTEGRIDAD Salvaguardar que la información y de los métodos de proceso se conserven exactos y completos. DISPONIBILIDAD Asegurar que la información y los activos asociados estén accesibles cuando sean requeridos por los usuarios autorizados.

6 Seguridad de Información Normas ISO 27000 27001 27002 27003 27004 27005

7 Política de Seguridad Organización de la seguridad Administración de activos Seguridad de las personas Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Control de Acceso Adquisición Desarrollo y Mantenimiento de Sistemas Administración de Incidentes Gestión de la Continuidad del Negocio Cumplimiento SECCIONES

8 AGENDA Seguridad de la Información Protección de la Información –Ataques a los sistemas –Prevención Certificación de la Información Propuestas para la acción

9 Protección de la Información ¿Cómo proteger?

10 Protección en TICs TÉCNICAJURÍDICA Mantener la integridad física y la funcionalidad de los recursos informáticos. Regular la tenencia, acceso y uso de los recursos informáticos y los procesos en los que participan

11 Protección en TICs TÉCNICAJURÍDICA Mantener la integridad física y la funcionalidad de los recursos informáticos Regular la tenencia, acceso y uso de los recursos informáticos y los procesos en los que participan FÍSICALÓGICA ¿Cómo separar Seguridad Física de Seguridad Lógica?

12 AGENDA Seguridad de la Información Protección de la Información –Ataques a los sistemas –Prevención Certificación de la Información Propuestas para la acción

13 Ataques a los sistemas Sniffing: este ataque consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la que corresponden. Se utiliza principalmente para obtener passwords, y en algunos casos para obtener información confidencial. Para proteger los passwords contra el sniffing basta con emplear mecanismos de autenticación y encriptación. Spoofing: es el nombre que se le da a los intentos del atacante por ganar el acceso a un sistema haciéndose pasar por otro que dispone de los privilegios suficientes para realizar la conexión. El ataque que más se suele utilizar sobre conexiones TCP es el conocido como adivinación del número de secuencia. Se basa en la idea de que si un atacante puede predecir el número inicial de secuencia de la conexión TCP generado por la máquina destino, entonces el atacante puede adoptar la identidad de máquina "confiada". Hijacking : consiste en robar una conexión después de que el usuario ha superado con éxito el proceso de identificación ante el sistema. El ordenador desde el que se lanza el ataque ha de estar en alguna de las dos redes extremo de la conexión, o al menos en la ruta entre ambas. El único método seguro para protegerse contra este tipo de ataques es el uso de encriptación.

14 Ataques a los sistemas Ingeniería social: son ataques que aprovechan la buena voluntad de los usuarios de los sistemas atacados. El atacante entonces espera un poco, y entra con ese password. A partir de ahí puede emplear otras técnicas de ataque (bugs del sistema para obtener un control total de la máquina, confianza transitiva para entrar en otras máquinas de la red, etc). Explotar bugs del software: aprovechan errores del software. A la mayor parte del software se le ha añadido la seguridad demasiado tarde, cuando ya no era posible rediseñarlo todo. Además, muchos programas corren con demasiados privilegios, lo que les convierte en objetivo de ataques, que únicamente han de hacerse con una copia del software a explotar y someterlo a una batería de pruebas para detectar alguna debilidad que puedan aprovechar. Ataques dirigidos por datos: son ataques que tienen lugar en modo diferido, sin la participación activa por parte del atacante en el momento en el que se producen. El atacante se limita a hacer llegar a la víctima una serie de datos que al ser interpretados ejecutarán el ataque propiamente dicho.

15 Ataques a los sistemas Denegación de servicios: estos ataques no buscan ninguna información contenida en las máquinas atacadas ni conseguir acceso a ellas. Únicamente van encaminados a impedir que sus usuarios legítimos puedan usarlas. Tempest: el barrido de los electrones por las pantallas de los ordenadores emana unas señales que pueden captarse incluso a varios metros de distancia. La tecnología tempest es capaz de reconstruir, a partir de las señales captadas, la imagen mostrada en la pantalla que las provocó. Esta tecnología es todavía excesivamente cara, de modo que de momento no es problema a tener en cuenta.

16 Seguridad de la Información Protección de la Información –Ataques a los sistemas –Prevención Certificación de la Información Propuestas para la acción AGENDA

17 Seguridad de Información Normas ISO 27000 27001 27002 27003 27004 27005

18 Prevención Gobierno de Tecnologías de Información y Comunicaciones Auditoria en TIC Gestión de la Seguridad de Información

19 AGENDA Seguridad de la Información Protección de la Información –Ataques a los sistemas –Prevención Certificación de la Información Propuestas para la acción

20 Protección Jurídica JURIDÍCA Regular la tenencia, acceso y uso de los recursos informáticos y los procesos en los que participan

21

22 Constitucion de la Republica Bolivariana de Venezuela Ciencia, Tecnología e Innovación Telecomunicaciones Prevención condiciones y medio ambiente de trabajo Ley de Registro Público y del Notariado Simplificación de Tramites Administrativos Decreto 825 Código Civil Código Mercantil Código Penal Código Procesal Penal Firma Electrónica y Mensaje de Datos Contra los Delitos Informáticos

23 Certificación LA FIRMA MANUSCRITA LA FIRMA ELECTRÓNICA Identificación Autentificación Valor Jurídico Generada por una persona Generada por un sistema

24 Certificación de la Información

25 Certificación  Autenticidad: Validar la identidad de las partes  Confidencilidad:  Confidencilidad: Asegurar que la información no es interceptada  No-repudiación:  No-repudiación: Asegurar compromisos legales y confiables  Disponibilidad:  Disponibilidad: Transacciones y comunicaciones ejecutadas de acuerdo a la demanda

26 Propuestas para la acción Crear canales efectivos para la contraloría social. (1.3) Propiciar la coherencia organizativa, funcional, procedimental y sistémica de los órganos públicos (6.1) Incrementar los niveles de capacidad y conocimiento del funcionario público (6.2) Simplificación de trámites administrativos a todos los niveles (6.3) Divulgar y adoptar las normas de calidad internacional que permitan ofrecer propuestas competitivas (13.4) Garantizar la distribución generalizada de tecnología de la información y la comunicación en todo el territorio nacional (13.3).

27 Propuestas para la acción Canales para Contraloría Social Incremento de la Capacidad y el Conocimiento Distribución generalizada de tecnología de las TICs Simplificación de Tramites Administrativos Normas de calidad internacional Coherencia de la Administración Publica

28 Milthon J. Chavez milthon@resilienciaorganizacional.net

Descargar ppt "Milthon J. Chavez Seguridad, protección y certificación de la Información Mayo 2008."

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
Seguridad Informática

Seguridad Informática
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
MINISTERIO DE HACIENDA

MINISTERIO DE HACIENDA
UNA AGENDA DIGITAL PARA MÉXICO LA VISIÓN DESDE EL SENADO

UNA AGENDA DIGITAL PARA MÉXICO LA VISIÓN DESDE EL SENADO
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Integridad y seguridad de las empresas en las bases de datos

Integridad y seguridad de las empresas en las bases de datos
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Universidad Tecnológica OTEIMA

Universidad Tecnológica OTEIMA
CONCEPTOS INFORMATICA, TELEMATICA Y REDES

CONCEPTOS INFORMATICA, TELEMATICA Y REDES
M.C.E. Ana María Felipe Redondo

M.C.E. Ana María Felipe Redondo
Firma digital en el ecuador

Firma digital en el ecuador
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
LA SEGURIDAD INFORMATICA Y LA PROTECCIÓN DE DATOS

LA SEGURIDAD INFORMATICA Y LA PROTECCIÓN DE DATOS
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Enrique Cardenas Parga

Enrique Cardenas Parga

Presentaciones similares

Anuncios Google