Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porDaniel Castillo Blázquez Modificado hace 8 años
1
Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007
2
RIESGO Contingencia o posibilidad de que ocurra un daño.
3
AMENAZA Ataque: Posibilidad de un daño. Materialización de una amenaza.
4
VULNERABILIDAD Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo.
5
PROBABILIDAD Cifra que expresa el grado en que un hecho sea absolutamente seguro que ocurra o no. Suele expresarse entre cero y uno.
6
DAÑO (IMPACTO) Consecuencia para un activo de la materialización de una amenaza.
7
UNA AMENZA PRODUCE UN Riesgo = Vulnerabilidad x Probabilidad x Impacto Popularidad Simplicidad Impacto
8
CLASES DE RIESGO FÍSICOLÓGICO INTERNO EXTERIOR
9
TIPOS DE VULNERABILIDADES CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
10
TIPOS DE VULNERABILIDADES asegurar que la información es accesible sólo para aquellos autorizados a tener acceso Confidencialidad Integridad Disponibilidad Salvaguardar la información tanto en calidad como en cantidad Asegurar que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando es requerido
11
PRINCIPALES AMENAZAS ¿Qué es Malware? Por similitud es el hardware o software que produce o puede producir daño al sistema.
12
PRINCIPALES AMENAZAS Es la suma de: Virus informáticos + Spyware + Ingeniería social
13
VIRUS INFORMÁTICOS Virus programa que está diseñado para “infectar” a otros programas o archivos. El término infectar se refiere a que el virus insertará una copia de sí mismo dentro del un archivo “sano”.
14
VIRUS INFORMÁTICOS Gusanos son diseñados para propagarse de forma masiva, a través de e-mail y/o redes.
15
SPYWARE Son programas que se dedican a espiar, obtener y mandar información del ordenador o red que afectan. Sus principales actividades son: Enviar publicidad agresiva Robar direcciones de e-mail Robar información bancaria
16
TIPOS DE SPYWARE Caballos de Troya (software maligno disfrazado de legítimo) Puertas traseras (facilita la entrada a usuarios sin autorización) Pop ups (ventanas que muestran publicidad) Keyloggers (capturador de teclas) Marcadores (marca número telefónico para acceder a través de módem) Adware (envía publicidad) DoS (Denegación de servicios)
17
INGENIERÍA SOCIAL Incluye todas las técnicas, métodos y medios que puede usar un atacante para engañar. Desde buscar información en la basura, hasta la creación de sitios web falsos. Promover amistad con usuarios.
18
HACKERS Preparación de un ataque: 1. Seguir el rastro 2. Exploración 3. Exploración de puertos 4. Enumeración
19
HACKERS Preparación de un ataque: 1. Seguir el rastro Recopilar información sobre el objetivo Acceso remoto Arquitectura intranet – internet – extranet Determinar el alcance Enumeración de la red Interrogación del DNS Reconocimiento de red
20
HACKERS Preparación de un ataque: 1. Seguir el rastro 2. Exploración Sistemas activos Sistemas accesibles 3. Exploración de puertos 4. Enumeración
21
HACKERS Preparación de un ataque: 1. Seguir el rastro 2. Exploración 3. Exploración de puertos Conexión TCP 4. Enumeración
22
HACKERS Preparación de un ataque: 1. Seguir el rastro 2. Exploración 3. Exploración de puertos 4. Enumeración Cuentas de usuario válidas Cuentas compartidas mal protegidas
23
CONTROLES O DEFENSAS Establecer política de seguridad. No instalar programas de dudoso origen. Mantener actualizado el sistema operativo. Tener programa antivirus y firewall. Cuentas de usuarios con pocos privilegios. Hacer copias de respaldo. Principio de Deming.
24
PRINCIPIO DE DEMING Plan Do Check Act Gestión de la continuidad del negocio Clasificación y control de activos Política de Seguridad Organización de la seguridad Aspectos de la seguridad relativos al personal Seguridad física y del entorno Gestión de las comunicaciones y operaciones Control de acceso Mantenimiento y desarrollo de sistemas Conformidad
25
ELEMENTOS DE DEFENSA (BIENWARE) Cortafuegos Proxy Password Cifrado Antivirus Inalámbrico
26
FRAUDE Consiste en un acto ilegal consciente, la ocultación de ese acto y la obtención de beneficio por ese acto.
27
FRAUDE – Clases AICPA distingue dos clases distintas: 1. Manifestación errónea voluntaria sobre información financiera. 2. Robo.
28
FRAUDE – Concepto legal Concepto legal: Cuando una persona a sabiendas realiza una manifestación falsa en la que la víctima confía que resulta en prejuicio para la víctima.
29
FRAUDE – Tipos de cargos Los cargos legales pueden ser diversos: Fraude Robo Malversación Desfalco
30
FRAUDE Razones por las que se comete fraude: Oportunidad Presión Justificación Financiera Controles débiles Posición de confianza No es un crimen Está justificado Préstamo Lo hace todo el mundo
31
FRAUDE Al auditor deben serle familiares las precondiciones para detectar el fraude: Determinar el riesgo de fraude, estudiando el sistema de controles. Conocer detalladamente los síntomas de fraude. Estar alerta a estos síntomas.
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.