Seguridad Informática

Slides:



Advertisements
Presentaciones similares
LEY DE COMERCIO ELECTRÓNICO y DELITO INFORMÁTICO SEMINARIO - TALLER
Advertisements

CONTENIDOS 2. Objetivos de la seguridad informática
Intranets P. Reyes / Octubre 2004.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Seguridad Definición de seguridad informática. Terminología.
ANALISIS DE RIESGOS.
ANALISIS DE RIESGOS.
Administración de Centros de Computo / CESM
Administración de Centros de Computo
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
EVALUACION DEL PERSONAL
Aspectos Organizativos para la Seguridad
GESTION ADMINISTRATIVA
Invoices On – Line Instrucciones de Registro. 1. Ir a la siguiente dirección de Internet 2. Escoger el lenguaje para.
MERCADO DE DINERO UNIDAD 6: Agosto 2013
Análisis y gestión de riesgos en un Sistema Informático
Introducción a los sistemas de Información Hospitalarios
Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López
Auditoria Informática Unidad II
ESCUELA POLITÉCNICA DEL EJÉRCITO
SOPORTE A USUARIOS HELP DESK
AUDITORIA DE LA SEGURIDAD EN SISTEMAS DE SOFTWARE
AUDITORÍA DE SISTEMAS UNIDAD 2.
ArrendaSoft, S.A. de C.V. Presentación de Servicios.
Auditoria de la seguridad de los datos y del software de aplicación Unidad IV.
Situaciones Detectadas en la Entidad…
Superintendencia General de Entidades Financieras SUGEF
CGR (Contraloría general de la república) Steven Oviedo Rodríguez
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
Ing. Héctor Abraham Hernández Erazo
© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.
Fundamentos de la Gerencia de Proyectos
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
LA SEGURIDAD LÓGICA EN LA INFORMÁTICA.
Unidad VI Documentación
Boletín N° Correo electrónico: INTRODUCCIÓN El Consejo de Informática, por este medio está dando.
Ética en el Uso de la Tecnología M.C. Juan Carlos Olivares Rojas Septiembre 2009.
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Identificación y Adquisición de Soluciones Automatizadas Informática II Período 2010-II.
Auditoría del Sistema de cobertura de mercado MAYO DEL 2000 MAYO DEL 2000.
UNIVERSIDAD ESTATAL DE MILAGRO
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
Auditoria en la infraestructura y seguridad de la información
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Diseño De Sistemas Catedrático: Ing. Ezequiel Santillán A. Miércoles, Febrero09, 2011 T í t u l o: ANALISIS DE SISTEMAS (REQUERIMIENTOS)
NCH2777 Gestión de la Continuidad del Negocio Alumno: Patricia Linconao Fecha:
Administración de la Seguridad M.C. Juan Carlos Olivares Rojas Septiembre 2009.
SGSI: Sistemas de Gestión de la Seguridad de la Información
2.1 Definición & Antecedentes
Proveedores de servicios externos
Uso del internet en forma segura y legal. Viviendo en Línea «Impacto de la Informática en la sociedad.
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
DELITOS EMERGENTES EN INTERNET Y EL DESAFIO DE CARABINEROS DE CHILE EN LA PREVENCIÓN Y CONTROL EN LA ERA INFORMÁTICA Para el desarrollo de este trabajo.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
Análisis y Diseño de Aplicaciones
Disponibilidad de los recursos útiles para realizar los objetivos o metas planteadas. Se basa o se orienta hacia un proyecto.
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
UNIVERSIDAD MANUELA BELTRAN Facultad de Ingeniería
Aplicar los conceptos y las herramientas para la administración de la calidad y gestión de riesgos del plan del proyecto. MTRA. VERÓNICA NOHEMI TAVERNIER.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
REDES Angie Paola Gutiérrez C. ♥ Once ♥. REDES DE COMPUTADORAS Es un conjunto de elementos interceptados entre si, para compartir información. Como en.
Auditoria de comunicación interna ¿En qué consiste?
Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.
Transcripción de la presentación:

Seguridad Informática M.C. Juan Carlos Olivares Rojas

Sistema de Gestión de Seguridad de la Información

Riesgos de Seguridad Informática

Riesgos de Seguridad Informática

Pasos Recomendados en una Estrategia

Evaluación de Activos

COBIT Control Objective for Information & related Technology.

ITIL IT Infrastructure Library, incluye definiciones de las mejores prácticas para la gestión de Servicios. La definición se divide en dos volúmenes: Soporte de Servicios Distribución de Servicios

Ejercicio 1 El Hospital “Santa Cecilia”, el cual cuenta con más de 100 años de operación en la ciudad de Monterrey, cuenta con tres hospitales satélites en donde se atienden urgencias y medicina familiar. Desde hace dos años implementó un sistema para sistematizar las historias clínicas de sus pacientes. Al momento llevan un 30% de avance en la captura de esa información, por lo que existe todavía gran cantidad de información en archivos de papel.

Ejercicio 1 El Hospital cuenta con más de 300 equipos de cómputo conectados a través de su red local, los cuales mantienen estrecha comunicación con el equipo central. Así mismo maneja conexiones con aseguradoras para la transferencia de información referente a trámites de sus pacientes. Hace cinco años, el hospital se conectó a Internet, ya que esto facilitaba la comunicación con sus clientes y proveedores.

Ejercicio 1 Existen canales de comunicación tales como el correo electrónico y mensajería, por donde fluye todo tipo de información (incluyendo la transferencia de archivos). A mediados del año pasado lanzó su portal del área de laboratorio y check up, con lo cual sus clientes pueden acceder a sus resultados de laboratorio y enviárselos a su doctor.

Ejercicio 1 Dentro de los planes de expansión, el hospital está considerando asociarse con la Clínica Mayo con el fin de transferir tecnología y establecer acuerdos de investigación. Actualmente el Hospital cuenta con un Centro de Investigación líder a nivel mundial en Neurocirugía y cuenta con dos investigadores que han ganado premios Nobel por las investigaciones realizadas en este campo. Esto le ha dado una ventaja competitiva a este hospital.

Ejercicio 1 En los próximos meses se empezará a realizar un reemplazo de equipo de cómputo y se necesita tomar una decisión sobre como disponer del equipo viejo. Con base en esta información, tú como especialista en seguridad debes de realizar un estudio de la problemática y realizar recomendaciones.

Ejercicio 1 De acuerdo a tu criterio, lista los activos por orden de importancia. ¿Contra que situaciones protegerías dichos activos? ¿Cómo protegerías dichos activos? ¿Qué harías con el equipo viejo?

Ejercicio 2 Entre los incidentes más recientes en el Hospital Santa Cecilia se cuentan los siguientes: Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.

Ejercicio 2 Se han reportado clientes del hospital notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo. Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.

Ejercicio 2 Existe software no licenciado instalado en los equipos del hospital. Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes. Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.

Ejercicio 2 Se han detectado accesos no autorizados a los sistemas. ¿Qué eventos de los explicados en la sesión han afectado al hospital? ¿Con base en tu experiencia que harías para corregir esta situación?

Ejercicio 3 Identifica qué principio y activo es el más importante para cada una de las siguientes organizaciones. Justifica tu respuesta. Secretaría de Hacienda Ejército Empresa farmacéutica Amazon.com Sistema de Escolar de una Universidad

Ejercicio 3 Sistema de emergencias telefónica 066 Su equipo de cómputo personal. Banco Carrier de telecomunicaciones. Coca Cola.

Ejercicio 4 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

Ejercicio 4 Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen: Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).

Ejercicio 4 La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías. El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:

Ejercicio 4 Acceso no autorizado a la información de los clientes. Software malicioso que afecte a los principales sistemas de la empresa Denegación de servicios a su portal de Internet

Ejercicio 4 A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos. De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso. 

Ejercicio 5 La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.

Ejercicio 5 Lo primero que la dirección genera le ha solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.

Ejercicio 5 Escribe un reporte con está política especifica con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones: Antecedentes Objetivo Cuerpo del documento Responsabilidades Definición de términos

Ejercicio 6 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

Ejercicio 6 El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet. Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):

Ejercicio 6 Procedimientos de respaldos de Información Procedimientos de control de acceso lógico a la información Procedimientos de control de cambios Procedimientos de control de software malicioso

Ejercicio 7 EL Hospital “El Milagro” ha estado desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos. EL director en una entrevista mencionó lo siguiente (en resumen):

Ejercicio 7 El área de seguridad depende del área de redes Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad. Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.

Ejercicio 7 El gasto de inversión en equipos de seguridad como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado. Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados. Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.

Ejercicio 7 El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico. Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.

Ejercicio 7 De manera adicional se deben realizar las siguientes actividades: Visión de seguridad de información (a 5 años) Misión de seguridad de información Que dimensión será la más relevante en un Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación) Establecer 5 objetivos de seguridad de información.

Ejercicio 8 Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente: Escribe una política de seguridad corporativa (Máximo tres párrafos). Identifica tres políticas específicas que consideras deben de desarrollarse.

Ejercicio 8 Lista tres recomendaciones que harías a los empleados del hospital en cuanto a: Respaldo de información Correo electrónico Manejo de usuarios y contraseñas Uso de equipo de cómputo.

Ejercicio 9 Para el caso del Hospital Santa Cecilia, se requiere realizar un análisis de riesgo. Dado que no se cuenta con datos que sustenten un análisis cualitativo, se requiere que realices un análisis cualitativo para los tres principales activos que identifiques. Para ello deberás realizar lo siguiente: Identificar los tres principales activos que consideres.

Ejercicio 9 Identificar al menos una vulnerabilidad para cada uno. Identificar al menos una posible amenaza para cada vulnerabilidad. Estimar la probabilidad de ocurrencia de esa amenaza (alta, media o baja). Calcular los riesgos de cada amenaza (Riesgo = probabilidad x Impacto). Definir el tratamiento que darás a cada riesgo (disminuirlo, transferirlo, aceptarlo).

Referencias Morales, R. (2008) Curso de Seguridad Informática, SI040001, ITESM. González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia.

¿Preguntas, dudas y comentarios?

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.