Conceptos básicos de Riesgos y Seguridad

Slides:



Advertisements
Presentaciones similares
ÍNDICE Mission Statement Breve historia Posicionamiento
Advertisements

Juan Antonio Pérez-Campanero Atanasio
Introducción Seguridad ¿Qué proteger? ¿De qué proteger?
SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Definición de seguridad informática. Terminología.
Auditoría Informática
Introducción Empezamos describiendo al comercio electrónico como el proceso de comprar y vender bienes y servicios electrónicamente, mediante transacciones.
ESET Endpoint Security y ESET Endpoint Antivirus
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
Universidad Tecnológica OTEIMA
Análisis y gestión de riesgos en un Sistema Informático
SEGURIDAD INFORMÁTICA
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Seguridad de redes empresariales
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
AUDITORIA TECNOLOGIAS DE INFORMACION
Seguridad y Auditoria de Sistemas Ciclo
UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Seguridad de los sistemas informáticos
Auditoria Informática Unidad II
SEGURIDAD INFORMÁTICA
Introducción a la Seguridad de la información
La seguridad informática, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
PROTECCIÓN DEL ORDENADOR
Auditoría de Sistemas y Software
© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.
Hugo Alexander Muñoz García
Mantenimiento Mínimo de computadores Una de las formas en que el usuario puede alargar y optimizar el rendimiento de su computador es mediante su mantenimiento.
Análisis y Gestión de Riesgos
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
Tema 13: privacidad en la red Andrea Sánchez Ferriol Arancha Valero García.
SEGURIDAD INFORMATICA
Ética en el Uso de la Tecnología M.C. Juan Carlos Olivares Rojas Septiembre 2009.
Tema 4: Los Virus informáticos
Resumen análisis y gestión de riesgos Marcos Castro Franco.
SEGURIDAD INFORMÀTICA Presentado por: YAMILETH ORTÌZ
Análisis y Gestión de Riesgos en un Sistema Informático.
Administración lógica y física de la seguridad en una red computacional Docente: Hector Salazar Robinson
UNIVERSIDAD ESTATAL DE MILAGRO
Información pública de Cisco1© 2007 Cisco Systems, Inc. Todos los derechos reservados. Seguridad básica Networking para el hogar y pequeñas empresas: Capítulo.
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
FUNDAMENTOS TECNOLÓGICOS DE INFORMACIÓN Ing. Tanya Recalde Chiluiza.
Seguridad y Auditoria de Sistemas Ciclo
Seguridad en la red José miguel Tardío Fernández José Manuel Sancho Gómez Jesús Vozmediano Vázquez.
SEGURIDAD EN LA RED Grupo A Laura Díaz Bote Alejandra Enríquez García
Técnicas de cifrado. Clave pública y clave privada:
Company LOGO SEGURIDAD INFORMATICA Lucas Solis Ivonne.
Seguridad Informática
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
AUDITORIA INFORMATICA
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Tema 1 – Adopción de pautas de seguridad informática
Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.
Seguridad informática
SEGURIDAD INFORMÁTICA DELITOS INFORMÁTICOS NAVEGUE PROTEGIDO LOS MENORES Y JÓVENES EN LA RED.
VIRUS Características principales
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Taller Lisette paola martinez rivera Udes fisioterapia.
ASPECTOS LEGALES Y ÉTICOS DE LA SEGURIDAD INFORMÁTICA Integrantes: Rosales Amaya Ingrid Zapata Carmen Wilson Integrantes: Rosales Amaya Ingrid Zapata Carmen.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
(1) PWC, 2015: 2015 Global State of Information Security Survey (Encuesta mundial del estado de la seguridad de la información 2015) (2) Verizon, 2015:
DELITOS INFORMATICOS.
SEGURIDAD INFORMATICA
Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.
Seguridad y Control de los Sistemas de Información Cra. Maria Alejandra Masclef.
Transcripción de la presentación:

Conceptos básicos de Riesgos y Seguridad Seguridad y Auditoria de Sistemas Ciclo 2009-2 Ing. Yolfer Hernández, CIA

Temario Presentación de la asignatura. Definición de los temas de investigación. Recursos, Amenazas, Riesgos y Controles.

Presentación de la asignatura INGENIERO DE SISTEMAS Seguridad de Sistemas Auditoría de Sistemas Conceptos y definiciones Herramientas Métodos Recomendaciones prácticas. Tendencias actuales.

Estructura de la Asignatura 13 Clases de 3 Horas. 2 Trabajos de Evaluación continua (sem. 6 y 13-14). Evaluación Parcial (sem.8). Evaluación Final (sem.15).

Sistema Evaluativo NF= 0,20*EC1+ 0,25*EA+ 0,30*EC2+ 0,25*EB Leyenda: EA: Evaluación Parcial. EB: Evaluación Final. EC: Evaluación Contínua. (Avance, Investigación, Exposición y Sustentación).

Bibliografía TIPTON, H. 2000 Information Security Management Handbook. WEBER, Ron. 1998 Information Systems Control and Audit. PIATTINI, Mario. 2001 Auditoria Informática, un enfoque práctico. NASH Andrew, et.al: PKI: Infraestructura de claves públicas. 2002 Mc Graw Hill Iberoamericana S.A. 

Temas de Investigación 1 Integridad de información Métodos y algoritmos: CRC, Suma de Comprobación, Controles de Paridad, otros. En Bases de Datos (DBMS) En Dispositivos: Discos, CDs, USB, Memorias en Tarjetas, etc. En Comunicaciones: IPSEC, VPN, WAP, WEP, SSH, https, ftps, etc. 2 Métodos de Criptografía y protección Algoritmos: Hash, MD5, SHA Simétricos: DES, 3DES, AES, Rijndael, IDEA, RC4, etc Asimetricos: RSA, Diffie-Hellman, Rabin, ElGamal, etc Métodos y Herramientas: PKI (Public key Infrastructure), Firma digital, Certificados digitales, SSL, SET (Secure Electronic Transactions), PGP (Pretty Good Privacy), PMI (Privilege Management Infrastructure). Criptografía cuántica, fractal, etc. Computación Cuántica 3 Identificación personal de acceso Algo que conoces: Firma Digital, PIN, Sistemas Integrales: Para negocios Algo que tienes: Tarjetas Smart Cards, Rusco, RFID (Radio Frecuencia) Algo que eres: Sistemas Biométricos, Firma digital Regulaciones Internacionales y Peruanas sobre Sistemas de Identificación, Protección de Datos, etc. 4 Protección de accesos según plataformas tecnológicas Mainframe: OS390, Z10, AS400 UNIX, Linux Windows 2003, XP, Vista Servidores de Seguridad: LDAP, Firewall, etc. 5 Intrusión y violación Programas intrusivos: Spam, Hoax, Virus: Klez-Elkern, Pharmings, Troyanos, Backdoor, Spyware, Spoofing, Phreaker, Gusanos, Adware, Malware Métodos de Ataque: Phishing, Ataque de denegación de servicio, Ingeniería social Organizaciones: Hackers, Crackers, Hacking ético, Robo de Información, crimen organizado Vulnerabilidades: Actualizaciones no instaladas, Puertos abiertos, Agujeros de Seguridad en las Redes, Debilidades de Control Sistemas y herramientas de prevención y detección: Firewalls, IDS, IPS, DLP, IWSS, IMSS Regulaciones Internacionales y Peruanas: Políticas de Seguridad, Plan de Seguridad Informática, etc. 6 Seguridad física y continuidad operativa Seguridad Física Plan de Continuidad de Negocios Regulaciones Internacionales y Peruanas sobre Seguridad Física y Planes de Contingencia 7 Gestión de Riesgos Metodologías y software de Gestión de Riesgos: Magerit, PMI-Pmbok (Project Management Inst), MSF (Microsoft Solution Framework - Risk Management) Regulaciones Internacionales y Peruanas sobre Riesgos, Basilea II, etc

Recursos Instalaciones y Activos | Infraestructura Tecnológica Hardware Software Información Explotación Tecnológica Recursos Humanos

Recursos - Identificación Tangibles: Computadoras, registros de datos, registros de auditoría, manuales, libros, discos, etc. Intangibles: Seguridad y salud del personal, privacidad de usuarios, contraseñas, imagen pública, etc.

Vulnerabilidades Debilidades o agujeros en la seguridad de la organización Puntos y control de acceso (lógicos y físicos) Falta de Mantenimiento Personal sin conocimiento Desactualización de sistemas críticos

Amenazas / Ataques Desastres Naturales Errores Humanos y Procedimentales Errores Tecnológicos: Hardware y Software Actos Malintencionados Entorno de la Empresa: Competidores

Ataques Provocados por la naturaleza Lluvias, inundaciones, terremotos, rayos, etc.

Ataques Provocados por el hombre Escucha electrónica Hackers, crackers, piratas. Ataques físicos Virus.

Proporciones 20% 80% Externos Internos

Procedencia de los ataques Externa. Competidores. Usuarios. Delincuentes. Interna. Administrativos. Ingenieros. Operadores. Programadores. Auxiliares.

Posibles acciones de los competidores sabotaje espionaje robo de programas soborno

Posibles acciones de los usuarios Obtención de información. Entrega de información a competidores.

Infección viral Reproducción Transmisión INFECCIÓN Archivo Infectado

Tendencias de los ataques

Tendencias de los ataques

Posibles acciones de los administrativos Falsificar información. Entrega de información a externos.

Posibles acciones de los ingenieros Activar defectos. Acceder a los sistemas de seguridad.

Posibles acciones de los operadores Copiar archivos. Destruir archivos.

Posibles acciones de los programadores Robar programas o datos. Introducir fallas.

Posibles acciones de los auxiliares Vender reportes o duplicados. Buscar informaciones

Riesgos Es la posibilidad de que ocurra un acontecimiento que pudiera afectar el logro de los objetivos de la organización. El riesgo se mide en términos de impacto y probabilidad.

Riesgos -Definiciones Riesgo del Negocio: Aquellos que pueden afectar la viabilidad a largo plazo de un determinado negocio o de la empresa en su conjunto. Riesgo Inherente: Posibilidad de errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control. Riesgo de Control: Posibilidad de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna. Riesgo Residual: Es el riesgo que no esta considerado dentro de los sistemas de control implantados.

Riesgos - tipos básicos Pérdida de confidencialidad Pérdida de integridad Pérdida de disponibilidad Pérdida de Activos

Controles Procesos, herramientas, procedimientos, métodos, acciones, etc. que permiten mitigar los riesgos en función al costo / beneficio definido por la organización.

Sistema de Control Interno Mapa de Recursos (Procesos) GESTIÓN DEL NEGOCIO Modelo de Riesgos Modelo de Controles Evaluación de Controles

Conclusiones No existe ninguna organización a salvo de ataques a sus sistemas informáticos. No existe ningún sistema informático, ni organización absolutamente seguros. Subjetivo: existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.