La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad Informática

Publicada porValentín Robles Escobar Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Seguridad Informática"— Transcripción de la presentación:

1 Seguridad Informática
Conceptos Básicos Estrategias Controles Marzo del 2012 Lcda. Laura de Noboa. MSIG. DOCENTE - UNIVERSIDAD ECOTEC

2 Agenda Seguridad informática y seguridad de la información
Conceptos básicos Amenazas, Vulnerabilidades, Riesgos Objetivos de la Seguridad Requerimientos de seguridad de la información Controles Seguridad Física/Seguridad Lógica/Seguridad Adm Servicios, funcionalidad, tipo

3 Seguridad Informática
Actores Conceptos Básicos Análisis de riesgos Criptografía PKI VPN Analizadores de Protocolos y Vulnerabilidad Firewalls Legislación

4 Seguridad Informática vs Seguridad de la Información
Se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. Para ello existen una serie de métodos, reglas, estándares protocolos, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información Seguridad de la información Son aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistema tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma

5 Amenazas Virus Evento que puede crear situaciones de incertidumbre
Password cracking Fraudes informáticos Spamming Escalamiento de privilegios Exploits Violación de contraseñas Puertos vulnerables abiertos Destrucción de equipamiento Man in the middle Violación de la privacidad de los empleados Backups inexistentes Instalaciones por defecto Robo de información Port scanning Denegación de servicio Desactualización Interrupción de los servicios Ingeniería social Destrucción de soportes documentales Programas “bomba, troyanos” Acceso clandestino a redes Acceso indebido a documentos impresos Mails anónimos con agresiones Incumplimiento de leyes y regulaciones Virus Keylogging Falsificación de información para terceros Intercepción de comunicaciones voz y wireless Hacking de Centrales Telefónicas

6 Fallos en la programación
Vulnerabilidades Incapacidad de resistencia cuando se presenta un evento Personal no capacitado y concientizado Inadecuada asignación de responsabilidades Inadecuado compromiso por la dirección Ausencia de controles Parches no aplicados Ausencia de políticas/ procedimientos Fallos en la programación Ausencia de reportes de incidentes y vulnerabilidades Inadecuado seguimiento y monitoreo de los controles Servicios de log inexistentes o que no son chequeados

7 Activos de Información
Activo se entiende cualquier componente (sea humano, tecnológico, software, etc.) que sustenta uno o más procesos de negocios de una unidad  o área de negocio. Activo es todo aquello que tiene valor para su empresa. La ISO pide que todos los activos relevantes sean identificados e inventariados. Existe un poco de confusión porque acostumbramos a asociar la expresión “inventario de activos” al  usual inventario de hardware y software

8 Identificación de Activos de Información
Magerit: Es un método formal para investigar los riesgos que soportan los Sistemas de Información  y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos, Magerit se basa en las especificaciones de ISO 27000 Activos de Información

9 Riesgos Incertidumbre de lograr un objetivo
Posibilidad que de una amenaza afecte negativamente la habilidad de un ente para alcanzar su objetivo Situación adversa en la cual existe la posibilidad de desviar un resultado esperado COSO (Gestión de Riesgos) Factor identificado que podría afectar la consecución de un objetivo de: Efectividad de las operaciones (eficacia y eficiencia) Confiabilidad de la información (Caso Enron) Cumplimiento con leyes y regulaciones

10 Caso Enron Empresa Americana de Houston creada en 1985, negocio de intermediación de electricidad y gas, llego a valer en bolsa 80 millones de dólares. Contratos financieros respaldaban las transacciones de energía Quebró a fines del 2001, su precio de acción cayo desde US$90 a US$0.3, por acción Transacciones entre miembros, firma externas y afiliadas Apalancamiento de la deuda de la empresa (sobreendeudamiento) Caso emblemático para los Comités de Auditoria. Pago de honorarios por servicios de Auditoria estaba por lo 25 millones (independencia del auditor) Problemas Alternos 212 de 248 senadores apoyo a sus campañas, 2000 trabajadores quedaron desempleados y casi sin fondo de pensión Legislación (bursátil y desregulación del sector eléctrico) Exposición de los Auditores de Bancos, de inversiones, calificadoras de riesgos por la falta de señales oportunas Relación entre entidades de gobierno y políticos de todos los sectores con Enron Falta de Ética y transparencia

11 Visión del riesgo Amenaza EXPLOTA Vulnerabilidades Activos RIESGO
Aumentan Aumentan Activos RIESGO Reducen CONTROLES Tasación Requerimientos de Seguridad IMPACTO EN LA ORGANIZACIÓN

12 Factores de Riesgos Factores: Tipos
Ambientales:- Lluvias , inundaciones, terremotos, rayos , entre otros Tecnológicos:- Fallas de hardware y software, sistemas de climatización, sistemas eléctricos, ataques externos, virus, etc. Humanos:- Robo, fraudes, sabotaje, vandalismo, falsificación, alteraciones, etc. Tipos Predecibles Impredecibles

13 Seguridad de la información
La seguridad de la información, es determinar que requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo (activos, riesgos, amenazas, controles) La seguridad de la información se caracteriza por la preservación de: Integridad:- Protección para modificaciones no apropiadas Confidencialidad :- Protección ante accesos no autorizados Disponibilidad:- Usuarios tienen acceso cuando lo requieran

14 Objetivos Establecer los principios de Seguridad de la Información en la organización Habilitar el conjunto de procedimientos, estrategias mediante el uso de herramientas que permitan garantizar la preservación de la integridad, la disponibilidad y la confidencialidad de la información de una entidad. Minimizar el impacto que puedan tener las situaciones adversar que pudieran afectar a los activos de información.

15 Importancia Bien protegido.
Conoce los activos de información de su empresa? los ha evaluado? Le interesa a la competencia su información confidencial? Cuenta con procedimientos y controles que protejan su información? Cuanto sobreviviría su empresa sin información? Estamos preparados ante incidentes de seguridad?

16 Requerimientos Evaluación de los riesgos que pueden afectar a la organización, se identifican las amenazas, se evalúan las vulnerabilidades y la probabilidad de que ocurran y se estima el impacto potencial Requerimientos legales, regulatorios y contractuales Caso Entidades Financieras Conjunto particular de principios objetivos y requerimientos para procesar información de la organización ha desarrollado para apoyar sus operaciones.

17 Controles de Seguridad de Información
Término francés Controle Todos los Controles de Seguridad están para fortalecer precisamente principios (confidencialidad, disponibilidad, integridad)y por ende mitigar los riesgos a niveles aceptables. Minimizan los riesgos Son mecanismos que permiten salvaguardas para los activos de información.

18 Controles de Seguridad de Información

19 Controles Controles – servicios Controles - funcionalidad
Confidencialidad Disponibilidad Integridad No Repudio Controles - funcionalidad Disuasivos, correctivos, preventivos, recuperación compensatorios (funcionalidad) Controles - tipo Controles físicos Controles tecnológicos Controles administrativos

20 Controles Físicos Disuasivos Para retrasos Detección de intrusos
Bardas, Señales de aviso, guardias, perros Para retrasos Cerraduras, controles de acceso Detección de intrusos Internos, externos, CCTV Evaluación de situaciones Procedimientos de guardias, árbol de llamadas Respuesta Procedimientos de emergencias, policía, bomberos, médicos, respaldos

21 Controles Tecnológicos
ACL Cifrado IDS Antivirus Actualizaciones Controles de versiones Firewalls Escaners Tokens

22 Controles administrativos
Políticas de seguridad de información Procesos de respaldos y restauraciones Procesos de respuestas a incidentes Uso de estándares de configuración Guías para el manejo de contraseñas Política de control de cambios Procesos de control de cambios Procedimientos de detección de intrusos

23 Controles - funcionalidad

24 Controles - funcionalidad

25 Controles - Servicios Confidencialidad Disponibilidad Integridad
No Repudio Trazabilidad Control de Accesos Legalidad

26 Controles - Servicios

27 Componentes de Controles

28 Matriz de Controles

29 Modelo de efectividad de controles

30 Factores al seleccionar controles
Análisis costo beneficios Presupuesto, tiempos de implantación, comparativos Legislación y regulaciones Leyes nacionales, internacionales, regulaciones Impacto Niveles de afectación a la operación Seguridad y Confiabilidad Política organizacional Disposiciones internas Efectividad

Descargar ppt "Seguridad Informática"

Presentaciones similares

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Sistema Integrado de Gestion

Sistema Integrado de Gestion
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Seguridad de los sistemas informáticos

Seguridad de los sistemas informáticos
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Estructura Sistema de Control Interno

Estructura Sistema de Control Interno
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
SISTEMA DE CONTROL DE LA MISIÓNDEL PROCESOALCANCECONTABILIDA D ADMINISTRATIVO *Garantizar la eficiencia, eficacia y economía en todas las operaciones.

SISTEMA DE CONTROL DE LA MISIÓNDEL PROCESOALCANCECONTABILIDA D ADMINISTRATIVO *Garantizar la eficiencia, eficacia y economía en todas las operaciones.
Situaciones Detectadas en la Entidad…

Situaciones Detectadas en la Entidad…

Presentaciones similares

Anuncios Google