La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Autores:  Mariela Zambrano R.  Dario Palacios F. Presentación de Seminario Graduación.

Publicada porLourdes Carmona Castilla Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Autores:  Mariela Zambrano R.  Dario Palacios F. Presentación de Seminario Graduación."— Transcripción de la presentación:

1

2

3 Autores:  Mariela Zambrano R.  Dario Palacios F. Presentación de Seminario Graduación

4 Seguridad de la Información

5 La seguridad de la Información La seguridad de la información es la preservación de los principios básicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen como: Presentación de Seminario Graduación

6 DEFINICI Ó N DE CONCEPTOS

7 Presentación de Seminario Graduación Etapas de un SGSI

8 Presentación de Seminario Graduación Beneficios de implementar un SGSI

9 Presentación de Seminario Graduación LA EMPRESA

10 Antecedentes - Organigrama Presentación de Seminario Graduación

11 Antecedentes Desarrolladora de software Consultoría de negocios Orientada a satisfacer las necesidades y aspiraciones de los clientes. Kennedy Norte, Av. Miguel H. Alcivar y Eleodoro Arboleda, Edificio Plaza Center Piso 8, Of. 803 Teléf.: 2-280217 ext. 124 Guayaquil – Ecuador Presentación de Seminario Graduación

12 Justificación - Antecedentes Presentación de Seminario Graduación

13 ETAPA DE PLANEACIÓN

14 Controles según la Norma Iso 20072 Presentación de Seminario Graduación 11. CONTROL DE ACCESO. 11.1 Requisitos de negocio para el control de acceso. 11.1.1 Política de control de acceso. 11.2 Gestión de acceso de usuario. 11.2.1 Registro de usuario. 11.2.2 Gestión de privilegios. 11.2.3 Gestión de contraseñas de usuario. 11.2.4 Revisión de los derechos de acceso de usuario. 11.3 Responsabilidades de usuario. 11.3.1 Uso de contraseñas. 11.3.2 Equipo de usuario desatendido. 11.3.3 Política de puesto de trabajo despejado y pantalla limpia. 11.4 Control de acceso a la red. 11.4.1 Política de uso de los servicios en red. 11.4.2 Autenticación de usuario para conexiones externas. 11.4.3 Identificación de los equipos en las redes. 11.4.4 Protección de los puertos de diagnóstico y configuración remotos. 11.4.5 Segregación de las redes. 11.4.6 Control de la conexión a la red. 11.4.7 Control de encaminamiento (routing) de red. 11.5 Control de acceso al sistema operativo. 11.5.1 Procedimientos seguros de inicio de sesión. 11.5.2 Identificación y autenticación de usuario. 11.5.3 Sistema de gestión de contraseñas. 11.5.4 Uso de los recursos del sistema. 11.5.5 Desconexión automática de sesión. 11.5.6 Limitación del tiempo de conexión. 11.6 Control de acceso a las aplicaciones y a la información. 11.6.1 Restricción del acceso a la información. 11.7 Ordenadores portátiles y teletrabajo. 11.7.1 Ordenadores portátiles y comunicaciones móviles. 11.7.2 Teletrabajo.

15 Controles según la Norma Iso 20072 Presentación de Seminario Graduación Código Descripción Objetivo 11.4.1Política de uso de los servicios de redDisponer de acceso a los servicios autorizado a usar. 11.4.2 Autentificación de usuarios para conexiones externas Métodos apropiados de autenticación para controlar el acceso de usuarios remotos. 11.4.3 Identificación de equipos en las redes Identificación del equipo automático desde lugares específicos y equipos. 11.4.4Protección de puerto y diagnóstico remotoAcceso físico y lógico a los puertos de diagnóstico. 11.4.5Segregación en las redes Grupos de servicios de información, usuarios y sistemas de información deben estar separados de redes. 11.4.6control de conexiones de red La capacidad de los usuarios conectarse a la red se limitará, con el acceso control de las políticas. 11.4.7Control de encaminamiento de red.Se llevará a cabo por redes para asegurar que las conexiones de equipo y flujos de información no violen la política de control de acceso.

16 Política de uso de los servicios de red Consiste en Controlar: Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados a usar. Presentación de Seminario Graduación

17 Autenticación del usuario para conexiones externas. Consiste en controlar: Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos Presentación de Seminario Graduación Las conexiones externas son una fuente potencial de accesos no autorizados a la información. Por tanto, el acceso por usuarios remotos debería ser objeto de su autenticación.

18 Identificación de equipos en las redes Consiste en Controlar: Se debe considerar la identificación automática del equipo como un medio para autenticar las conexiones desde equipos y ubicaciones específicas. Presentación de Seminario Graduación Recomendación a Implementar: La identificación del equipo se puede utilizar si es importante que la comunicación sólo sea iniciada desde una ubicación o equipo específico.

19 Protección de puerto de Diagnóstico remoto Consiste en: Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y configuración Presentación de Seminario Graduación Recomendación a Implementar: Para dicho procedimientos se debe asegurar que el diagnostico y configuración de puertos sean solo accesibles por arreglo entre el director del servicio de computo y el personal de mantenimiento de hardware/software que requiere acceso.

20 Segregación en las redes Consiste en Controlar: Los servicios de información, usuarios y sistemas de información se deben segregar en las redes. Presentación de Seminario Graduación Recomendación a Implementar: Un método para controlar la seguridad de grandes redes es dividirlas en dominios de red lógicos separados;

21 Control de conexiones de redes Consiste en Controlar: Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites organizaciones; se debiera restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales Presentación de Seminario Graduación Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la política de control de acceso Recomendación a Implementar:

22 Control de encaminamiento de red Consiste en Controlar: Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las aplicaciones comerciales.. Presentación de Seminario Graduación Recomendación a Implementar: Asignación de direcciones únicas a todas las máquinas de la red, independientes de la tecnología de los niveles de enlace. Y Control de congestión

23 Presentación de Seminario Graduación DEFINICIÓN DE POLITICAS

24 Presentación de Seminario Graduación Busca garantizar el cumplimiento de los acuerdos de nivel de servicio en relación a la seguridad de la información establecidos con terceros. Las políticas a aplicar son las siguientes: Uso aceptable de los activos Uso contra software malicioso Control de accesos Uso de correo electrónico Puestos de trabajo despejados Uso de contraseñas de usuario Uso de equipos portátiles Políticas de seguridad

25 Presentación de Seminario Graduación EVALUACI Ó N DE RIESGO.

26 Presentación de Seminario Graduación TABLA IDENTIFICACION DE ACTIVOS CategoríaNombreDescripción HARDW (Hardware) PCComputador Personal NETWORKServidor de Proxy Server PRINTMedios de Impresión SWITHConmutadores SERVIDOR Alojamiento de información ROUTEREnrutador SOFTW (Software) ANVAntivirus CORREOCliente de correo electrónico BROWSERNavegador Web FIREWALLPared corta fuegos RED (Redes de comunicaciones) PSTNRed Telefónica PPRed Inalámbrica LANRed Local INTERNETInternet PTHPatch Panel ADD (Equipos adicionales) CABLINGCableado

27 Presentación de Seminario Graduación Valorización De Los Activos

28 Presentación de Seminario Graduación Disponibilidad ValorCriterio 1Baja 2Media-Baja 3Media 4Media-Alta 5Alta Confidencialidad ValorCriterio 1Publica 2Uso Interno 3Privada 4Confidencial 5Alta Confidencialidad Integridad ValorCriterio 1No necesaria 2Opcional 3Importante 4Necesaria 5Indispensable CONFIDENCIALIDAD + INTEGRIDAD + DISPONIBILIDAD) / Nº DE CRITERIOS Valorización De Los Activos

29 Valorización del activo Presentación de Seminario Graduación

30 Gestión de Riesgo

31 Presentación de Seminario Graduación Gestión de Riesgo RedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades Físicas Físico Debe considerar estas amenazas en cualquier evaluación de riesgos Niveles de seguridad

32 Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad FísicoRedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a la Red Acceso no autorizado a los recursos de intranet Visión no autorizada y modificación de los datos Uso no autorizado del ancho de banda Negación de servicio en el ancho de banda de la red

33 Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad FísicoRedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a los Hosts Acceso no autorizado a los recursos del host/servidor  Actualizaciónes de seguridad faltantes  Configuración errónea del host Escalación de privilegios o imitación de la identidad  Contraseña perdida o robada  Creación no autorizada de cuentas

34 Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad FísicoRedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a las Aplicaciones Escalación de privilegios  Validación de entrada  Validación de parámetro  Administración de sesión Acceso no autorizado a una aplicación  Faltan actualizaciones de seguridad  Configuración errónea

35 Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad RedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a los Datos Físico Visión no autorizada de los datos Modificación no autorizada de los datos Uso no autorizado de los datos Destrucción de los datos

36 Presentación de Seminario Graduación Tipos de amenazas

37 Presentación de Seminario Graduación Captura de PC desde el exterior Violación de contraseñas Interrupción de los servicios Virus Mails anónimos con agresiones Incumplimiento de Políticas Robo o extravío de notebooks, palms Robo de información Acceso clandestino a redes Intercepción de comunicaciones voz y wireless Programas “bomba, troyanos” Acceso indebido a documentos impresos Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Hurto de equipos Principales de amenazas

38 Presentación de Seminario Graduación Principales de Vulnerabilidades Ataque Externo Internet Ataque Interno AtaqueAccesoRemoto

39 Presentación de Seminario Graduación Todos los riesgos que se presentan podemos: Eliminar Reducir Asumir Transferir

40 Presentación de Seminario Graduación

41 Resultados de Evaluación de Riesgos Activos Dpto. Peligro identificado Probabilidad Impacto Riesgo PC Dpto.Cont. Fact. Mal uso de la PC24.669.32 Intención de acceder a datos44.6618.64 Hurto de dispositivos14.66 Acceso no autorizado54.6623.33 Sustracción de Doc. Fact.34.6613.98 Correo Electrónico Dpto. Redes Mal uso del correo34.6613.98 Robo.24.669.32 Escape de información34.6613.98 Aplicativo Control de Entrada Puesto trabajo Conexión Remota no controlada54.3321.65 Acceso a su configuración34.3312.99 Análisis de trafico24.338.66

42 Presentación de Seminario Graduación Riegos

43 Presentación de Seminario Graduación Riegos

44 Presentación de Seminario Graduación

45 Implementación Del Plan De Tratamiento Del Riesgo

46 Presentación de Seminario Graduación ActivoAmenazaVulnerabilidadesPTR Servidor Negación del Servicio Falta de personal capacitado para el control de servicios Reducción Corte de suministro eléctrico o Falla en el aire acondicionado Funcionamiento no adecuado del aire acondicionado Reducción Degradación de HWFalta de mantenimiento adecuado Reducción Incumplimiento de controles de seguridad Falta de conocimiento de seguridad por parte del software Reducción Análisis de tráfico Falta de establecimiento de una conexión segura (VPN) Reducción Ataque destructivoFalta de protección físicaReducción

47 Presentación de Seminario Graduación ActivoAmenazaVulnerabilidadesPTR Servicio de Correo electrónico Análisis de trafico Falta de establecimiento de una conexión segura Reducción Uso no previstoFalta de PolíticasReducción Fallas de servicios de soporte telefonía servicios de internet Falta de acuerdos bien definidos con terceras Reducción Access Point Acceso Externo Pirata Falta de procedimientos y seguridades en el control de acceso Reducción Degradación del servicio y equipos Falta de mantenimiento adecuado Reducción Ataque destructivo Falta de protección física Reducción PC Desarrolladores Errores de Empleados y acciones equivocadas Falta de conocimientos y entrenamiento oportuno Reducción Acceso a InternetUso de internet en oficinaAceptable Uso de InternetFalta de políticas de control de acceso a paginas no autorizadas Bloqueo de Páginas desde el departamento de Redes. Reducción

48 Presentación de Seminario Graduación AmenazaPTR CONTROL Ataques MaliciososReducción 10.4.1 Controles contra códigos maliciosos A – C Políticas de seguridad 4.2 :: Descripción:: Descripción Acceso a InternetAceptación 11.4.1.2 :: Descripción:: Descripción Mal uso de correoReducción Políticas de seguridad 4.4 – 4.5 :: Descripción:: Descripción Escape de informaciónReducción 11.4.1 Política de uso de los servicios de red. 11.4.1.18 – 11.4.1.4 :: Descripción:: Descripción Acceso no autorizados Reducción 11.4.1 Política de uso de los servicios de red. 11.4.1.4 – 11.4.1.5 – 11.4.1.14 – 11.4.1.15 :: Descripción:: Descripción Falla de conexiónReducción 9.2.1 Ubicación y protección del equipo. 9.2.4 Mantenimiento de los equipos. :: Descripción:: Descripción Degradación del Hardware Reducción 11.4.1 Política de uso de los servicios de red. 11.4.1.2 - 11.4.1.7 :: Descripción:: Descripción Uso de InternetReducción 11.4.7 desde el 1 al 9 :: Descripción:: Descripción

49 Presentación de Seminario Graduación Controles - Ataques Maliciosos a.- Establecer una política formal prohibiendo el uso de software no- autorizado. b.- Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debiera investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas 4.2.1 No utilizar CD s, disquetes, memorias USB de fuera de las instalaciones en los equipos del sistema de información de la organización a menos que haya sido previamente verificado que están libres de virus u otros agentes dañinos 4.2.2 Los mensajes que se reciban de remitentes extraños o con contenido clasificable como no relacionable con la actividad empresarial deben ser eliminados en el acto, sin proceder a abrirlos PTR

50 Presentación de Seminario Graduación Controles – Acceso a Internet 11.4.1.2 el usuario no esta autorizado a instalar o retirar cables o dispositivos de la red PTR

51 Presentación de Seminario Graduación Controles – Correo Electrónico 4.4.2 Todos los emails procesados por los Sistemas de Información corporativos y redes son considerados propiedad de la organización 4.5.1 No usar el correo electrónico para enviar información confidencial/sensible, particularmente a través de internet, a menos que ésta sea primero cifrada por un sistema de cifrado aprobado por el Dpto. Informático. 4.5.2 Para crear, enviar, reenviar o almacenar emails con mensajes o adjuntos que podrían ser ilegales o considerados ofensivos, sexualmente explícitos, racistas, difamatorios, abusivos, obscenos, discriminatorios u otros ofensivos PTR

52 Presentación de Seminario Graduación Controles – Escape de información 11.4.1.4 Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red 11.4.1.18 En caso de requerir el respaldo de información específica que no esté contemplada dentro de los servidores, el usuario tendrá la obligación de notificarlo al personal de Redes a través de un oficio signado por su Director General, Ejecutivo o de Área, indicando la periodicidad de dicho respaldo, a fin de que se incluya en el compendio de información a resguardar en cinta. PTR

53 Presentación de Seminario Graduación Controles – Acceso no autorizados PTR 11.4.1.4 Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red. 11.4.1.5 Todo recurso compartido deberá tener contraseña o determinar que usuarios tendrán acceso, así como el tipo de permisos asignados. 11.4.1.14 Solamente el Director General, Ejecutivo o de Área, por medio de un oficio podrá hacer la petición del uso de los servicios para el personal que labore en su departamento, debiendo indicar los siguientes puntos. 11.4.1.15 El servidor llevan un registro detallado de las operaciones ejecutadas en el, por lo cual el usuario será responsable totalmente del buen o mal uso de dichos recursos, así como pérdidas o cambios de información como resultados de errores de operación.

54 Presentación de Seminario Graduación Controles – Degradación del Hardware PTR 11.4.1.2 El usuario no esta autorizado a instalar o retirar cables o dispositivos de la red. 11.4.1.7 El personal que solicite o tenga a resguardo una computadora de escritorio, estación de trabajo, portátil, servidor, impresora, y/o cualquier otro dispositivo de entrada o salida, etc., se compromete a ser responsable por maltrato o mal manejo del mismo o alguno de sus componentes

55 Presentación de Seminario Graduación Controles – Uso de Internet PTR 11.4.7 El personal tendrá acceso al servicio de Internet. Cuando las necesidades del servicio así lo requieran. Prohibir. 11.4.7.1 Chats, icq, bbs, irc, talk, write o cualquier programa utilizado para realizar pláticas en línea 11.4.7.2 Cualquier programa destinado a realizar enlaces de voz y video, sin que esto sea previamente autorizado y justificado por la Dirección General, Ejecutiva o de Área 11.4.7.3 Descargas de gran tamaño (mayores a 10 Mb) o uso de archivos de audio y multimedia 11.4.7.4 Sitios de interacción así como redes sociales.

56 Presentación de Seminario Graduación Fin…

Descargar ppt "Autores:  Mariela Zambrano R.  Dario Palacios F. Presentación de Seminario Graduación."

Presentaciones similares

Servicio de Impresión KEY MESSAGE: Título SLIDE BUILDS: 0

Servicio de Impresión KEY MESSAGE: Título SLIDE BUILDS: 0
CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
DIRECT ACCESS.

DIRECT ACCESS.
Www.iso27002.es.

Término que se le da al conjunto de equipos de cómputo que se encuentran conectados entre si por medio de dispositivos físicos que envían y reciben -

Término que se le da al conjunto de equipos de cómputo que se encuentran conectados entre si por medio de dispositivos físicos que envían y reciben -
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
TECNOLOGIA DE NUBES JORLETH POVEDA MURCIA.

TECNOLOGIA DE NUBES JORLETH POVEDA MURCIA.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
CONCEPTOS INFORMATICA, TELEMATICA Y REDES

CONCEPTOS INFORMATICA, TELEMATICA Y REDES
Optimización de Redes de Comunicaciones

Optimización de Redes de Comunicaciones
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Enrique Cardenas Parga

Enrique Cardenas Parga
TIPOS DE SERVIDORES 4/2/2017 3:29 PM

TIPOS DE SERVIDORES 4/2/2017 3:29 PM
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información

Presentaciones similares

Anuncios Google