Autores:  Mariela Zambrano R.  Dario Palacios F. Presentación de Seminario Graduación.

Slides:



Advertisements
Presentaciones similares
Servicio de Impresión KEY MESSAGE: Título SLIDE BUILDS: 0
Advertisements

CONTENIDOS 2. Objetivos de la seguridad informática
Intranets P. Reyes / Octubre 2004.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD EN REDES DE DATOS
Aspectos Organizativos para la Seguridad
DIRECT ACCESS.

Término que se le da al conjunto de equipos de cómputo que se encuentran conectados entre si por medio de dispositivos físicos que envían y reciben -
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Ing. Horacio Carlos Sagredo Tejerina
TECNOLOGIA DE NUBES JORLETH POVEDA MURCIA.
Análisis y gestión de riesgos en un Sistema Informático
CONCEPTOS INFORMATICA, TELEMATICA Y REDES
Optimización de Redes de Comunicaciones
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Auditoria Informática Unidad II
Enrique Cardenas Parga
TIPOS DE SERVIDORES 4/2/2017 3:29 PM
Introducción a la Seguridad de la información
ARIS-G: Software de Monitoreo Geomecánico de Superficies
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
Gusanos. Recogen información del usuario y posiblemente produzcan problemas de espacio o tiempo, pero no ocasionan daños graves. Bombas lógicas o.
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad por Julio César Moreno Duque
AUDITORÍA DE SISTEMAS UNIDAD 2.
LA SEGURIDAD EN LAS TIC ©VEROKILA2009.
ELEMENTOS DE UNA RED ( Parte I)
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
Auditoría de Sistemas y Software
Elementos vulnerables en el sistema informático: hardware, software y datos. Gabriel Montañés León.
Fases de la Auditoria Informática
LINEAMIENTOS ESPECÍFICOS DE SEGURIDAD DE LA INFORMACIÓN PARA 1.
“Adopción de SGSI en el Sector Gobierno del PERÚ”
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
UNIDAD No. 5 ESTUDIO Y EVALUACION DEL CONTROL INTERNO EN INFORMATICA
LA SEGURIDAD LÓGICA EN LA INFORMÁTICA.
(C) Universidad de Las Palmas de Gran Canaria
UNIVERSIDAD AUTóNOMA BENITO JUAREZ DE OAXaCA
Ing. Cristhian Quezada Asenjo
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
Cuentas de usuarios y grupos en windows 2008 server
Seguridad de la Información Lima Peru Enero 2008.
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
Políticas de defensa en profundidad: - Defensa perimetral
FUNDAMENTOS TECNOLÓGICOS DE INFORMACIÓN Ing. Tanya Recalde Chiluiza.
SGSI: Sistemas de Gestión de la Seguridad de la Información
REDES 439.  Sugerencias:  HORARIO DE SERVICIO claramente establecido  Todo usuario debe estar registrado.  Los recursos de cómputo empleados por el.
Proveedores de servicios externos
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
Seguridad informática
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
SEGURIDAD DE LA INFORMACION Políticas de seguridad.
FIREWALLS, Los cortafuegos
Es el conjunto de ordenadores y dispositivos electrónicos conectados entre si cuya finalidad es compartir información.
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
SEGURIDAD INFORMATICA II VIII. DEFINICIÓN DE POLÍTICAS DE SEGURIDAD .
Universidad Latina CONTROL INTERNO.
La red y sus funciones Una red es un sistema de comunicación entre computadoras que permite la transmisión de datos de una máquina a la otra, con lo que.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
REDES Angie Paola Gutiérrez C. ♥ Once ♥. REDES DE COMPUTADORAS Es un conjunto de elementos interceptados entre si, para compartir información. Como en.
Presentación de la Norma Técnica de Seguridad de la Información.
Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se.
Transcripción de la presentación:

Autores:  Mariela Zambrano R.  Dario Palacios F. Presentación de Seminario Graduación

Seguridad de la Información

La seguridad de la Información La seguridad de la información es la preservación de los principios básicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen como: Presentación de Seminario Graduación

DEFINICI Ó N DE CONCEPTOS

Presentación de Seminario Graduación Etapas de un SGSI

Presentación de Seminario Graduación Beneficios de implementar un SGSI

Presentación de Seminario Graduación LA EMPRESA

Antecedentes - Organigrama Presentación de Seminario Graduación

Antecedentes Desarrolladora de software Consultoría de negocios Orientada a satisfacer las necesidades y aspiraciones de los clientes. Kennedy Norte, Av. Miguel H. Alcivar y Eleodoro Arboleda, Edificio Plaza Center Piso 8, Of. 803 Teléf.: ext. 124 Guayaquil – Ecuador Presentación de Seminario Graduación

Justificación - Antecedentes Presentación de Seminario Graduación

ETAPA DE PLANEACIÓN

Controles según la Norma Iso Presentación de Seminario Graduación 11. CONTROL DE ACCESO Requisitos de negocio para el control de acceso Política de control de acceso Gestión de acceso de usuario Registro de usuario Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de usuario Responsabilidades de usuario Uso de contraseñas Equipo de usuario desatendido Política de puesto de trabajo despejado y pantalla limpia Control de acceso a la red Política de uso de los servicios en red Autenticación de usuario para conexiones externas Identificación de los equipos en las redes Protección de los puertos de diagnóstico y configuración remotos Segregación de las redes Control de la conexión a la red Control de encaminamiento (routing) de red Control de acceso al sistema operativo Procedimientos seguros de inicio de sesión Identificación y autenticación de usuario Sistema de gestión de contraseñas Uso de los recursos del sistema Desconexión automática de sesión Limitación del tiempo de conexión Control de acceso a las aplicaciones y a la información Restricción del acceso a la información Ordenadores portátiles y teletrabajo Ordenadores portátiles y comunicaciones móviles Teletrabajo.

Controles según la Norma Iso Presentación de Seminario Graduación Código Descripción Objetivo Política de uso de los servicios de redDisponer de acceso a los servicios autorizado a usar Autentificación de usuarios para conexiones externas Métodos apropiados de autenticación para controlar el acceso de usuarios remotos Identificación de equipos en las redes Identificación del equipo automático desde lugares específicos y equipos Protección de puerto y diagnóstico remotoAcceso físico y lógico a los puertos de diagnóstico Segregación en las redes Grupos de servicios de información, usuarios y sistemas de información deben estar separados de redes control de conexiones de red La capacidad de los usuarios conectarse a la red se limitará, con el acceso control de las políticas Control de encaminamiento de red.Se llevará a cabo por redes para asegurar que las conexiones de equipo y flujos de información no violen la política de control de acceso.

Política de uso de los servicios de red Consiste en Controlar: Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados a usar. Presentación de Seminario Graduación

Autenticación del usuario para conexiones externas. Consiste en controlar: Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos Presentación de Seminario Graduación Las conexiones externas son una fuente potencial de accesos no autorizados a la información. Por tanto, el acceso por usuarios remotos debería ser objeto de su autenticación.

Identificación de equipos en las redes Consiste en Controlar: Se debe considerar la identificación automática del equipo como un medio para autenticar las conexiones desde equipos y ubicaciones específicas. Presentación de Seminario Graduación Recomendación a Implementar: La identificación del equipo se puede utilizar si es importante que la comunicación sólo sea iniciada desde una ubicación o equipo específico.

Protección de puerto de Diagnóstico remoto Consiste en: Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y configuración Presentación de Seminario Graduación Recomendación a Implementar: Para dicho procedimientos se debe asegurar que el diagnostico y configuración de puertos sean solo accesibles por arreglo entre el director del servicio de computo y el personal de mantenimiento de hardware/software que requiere acceso.

Segregación en las redes Consiste en Controlar: Los servicios de información, usuarios y sistemas de información se deben segregar en las redes. Presentación de Seminario Graduación Recomendación a Implementar: Un método para controlar la seguridad de grandes redes es dividirlas en dominios de red lógicos separados;

Control de conexiones de redes Consiste en Controlar: Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites organizaciones; se debiera restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales Presentación de Seminario Graduación Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la política de control de acceso Recomendación a Implementar:

Control de encaminamiento de red Consiste en Controlar: Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las aplicaciones comerciales.. Presentación de Seminario Graduación Recomendación a Implementar: Asignación de direcciones únicas a todas las máquinas de la red, independientes de la tecnología de los niveles de enlace. Y Control de congestión

Presentación de Seminario Graduación DEFINICIÓN DE POLITICAS

Presentación de Seminario Graduación Busca garantizar el cumplimiento de los acuerdos de nivel de servicio en relación a la seguridad de la información establecidos con terceros. Las políticas a aplicar son las siguientes: Uso aceptable de los activos Uso contra software malicioso Control de accesos Uso de correo electrónico Puestos de trabajo despejados Uso de contraseñas de usuario Uso de equipos portátiles Políticas de seguridad

Presentación de Seminario Graduación EVALUACI Ó N DE RIESGO.

Presentación de Seminario Graduación TABLA IDENTIFICACION DE ACTIVOS CategoríaNombreDescripción HARDW (Hardware) PCComputador Personal NETWORKServidor de Proxy Server PRINTMedios de Impresión SWITHConmutadores SERVIDOR Alojamiento de información ROUTEREnrutador SOFTW (Software) ANVAntivirus CORREOCliente de correo electrónico BROWSERNavegador Web FIREWALLPared corta fuegos RED (Redes de comunicaciones) PSTNRed Telefónica PPRed Inalámbrica LANRed Local INTERNETInternet PTHPatch Panel ADD (Equipos adicionales) CABLINGCableado

Presentación de Seminario Graduación Valorización De Los Activos

Presentación de Seminario Graduación Disponibilidad ValorCriterio 1Baja 2Media-Baja 3Media 4Media-Alta 5Alta Confidencialidad ValorCriterio 1Publica 2Uso Interno 3Privada 4Confidencial 5Alta Confidencialidad Integridad ValorCriterio 1No necesaria 2Opcional 3Importante 4Necesaria 5Indispensable CONFIDENCIALIDAD + INTEGRIDAD + DISPONIBILIDAD) / Nº DE CRITERIOS Valorización De Los Activos

Valorización del activo Presentación de Seminario Graduación

Gestión de Riesgo

Presentación de Seminario Graduación Gestión de Riesgo RedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades Físicas Físico Debe considerar estas amenazas en cualquier evaluación de riesgos Niveles de seguridad

Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad FísicoRedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a la Red Acceso no autorizado a los recursos de intranet Visión no autorizada y modificación de los datos Uso no autorizado del ancho de banda Negación de servicio en el ancho de banda de la red

Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad FísicoRedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a los Hosts Acceso no autorizado a los recursos del host/servidor  Actualizaciónes de seguridad faltantes  Configuración errónea del host Escalación de privilegios o imitación de la identidad  Contraseña perdida o robada  Creación no autorizada de cuentas

Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad FísicoRedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a las Aplicaciones Escalación de privilegios  Validación de entrada  Validación de parámetro  Administración de sesión Acceso no autorizado a una aplicación  Faltan actualizaciones de seguridad  Configuración errónea

Presentación de Seminario Graduación Gestión de Riesgo Niveles de seguridad RedHost Aplicaciones Datos Identificar Amenazas y Vulnerabilidades a los Datos Físico Visión no autorizada de los datos Modificación no autorizada de los datos Uso no autorizado de los datos Destrucción de los datos

Presentación de Seminario Graduación Tipos de amenazas

Presentación de Seminario Graduación Captura de PC desde el exterior Violación de contraseñas Interrupción de los servicios Virus Mails anónimos con agresiones Incumplimiento de Políticas Robo o extravío de notebooks, palms Robo de información Acceso clandestino a redes Intercepción de comunicaciones voz y wireless Programas “bomba, troyanos” Acceso indebido a documentos impresos Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Hurto de equipos Principales de amenazas

Presentación de Seminario Graduación Principales de Vulnerabilidades Ataque Externo Internet Ataque Interno AtaqueAccesoRemoto

Presentación de Seminario Graduación Todos los riesgos que se presentan podemos: Eliminar Reducir Asumir Transferir

Presentación de Seminario Graduación

Resultados de Evaluación de Riesgos Activos Dpto. Peligro identificado Probabilidad Impacto Riesgo PC Dpto.Cont. Fact. Mal uso de la PC Intención de acceder a datos Hurto de dispositivos14.66 Acceso no autorizado Sustracción de Doc. Fact Correo Electrónico Dpto. Redes Mal uso del correo Robo Escape de información Aplicativo Control de Entrada Puesto trabajo Conexión Remota no controlada Acceso a su configuración Análisis de trafico

Presentación de Seminario Graduación Riegos

Presentación de Seminario Graduación Riegos

Presentación de Seminario Graduación

Implementación Del Plan De Tratamiento Del Riesgo

Presentación de Seminario Graduación ActivoAmenazaVulnerabilidadesPTR Servidor Negación del Servicio Falta de personal capacitado para el control de servicios Reducción Corte de suministro eléctrico o Falla en el aire acondicionado Funcionamiento no adecuado del aire acondicionado Reducción Degradación de HWFalta de mantenimiento adecuado Reducción Incumplimiento de controles de seguridad Falta de conocimiento de seguridad por parte del software Reducción Análisis de tráfico Falta de establecimiento de una conexión segura (VPN) Reducción Ataque destructivoFalta de protección físicaReducción

Presentación de Seminario Graduación ActivoAmenazaVulnerabilidadesPTR Servicio de Correo electrónico Análisis de trafico Falta de establecimiento de una conexión segura Reducción Uso no previstoFalta de PolíticasReducción Fallas de servicios de soporte telefonía servicios de internet Falta de acuerdos bien definidos con terceras Reducción Access Point Acceso Externo Pirata Falta de procedimientos y seguridades en el control de acceso Reducción Degradación del servicio y equipos Falta de mantenimiento adecuado Reducción Ataque destructivo Falta de protección física Reducción PC Desarrolladores Errores de Empleados y acciones equivocadas Falta de conocimientos y entrenamiento oportuno Reducción Acceso a InternetUso de internet en oficinaAceptable Uso de InternetFalta de políticas de control de acceso a paginas no autorizadas Bloqueo de Páginas desde el departamento de Redes. Reducción

Presentación de Seminario Graduación AmenazaPTR CONTROL Ataques MaliciososReducción Controles contra códigos maliciosos A – C Políticas de seguridad 4.2 :: Descripción:: Descripción Acceso a InternetAceptación :: Descripción:: Descripción Mal uso de correoReducción Políticas de seguridad 4.4 – 4.5 :: Descripción:: Descripción Escape de informaciónReducción Política de uso de los servicios de red – :: Descripción:: Descripción Acceso no autorizados Reducción Política de uso de los servicios de red – – – :: Descripción:: Descripción Falla de conexiónReducción Ubicación y protección del equipo Mantenimiento de los equipos. :: Descripción:: Descripción Degradación del Hardware Reducción Política de uso de los servicios de red :: Descripción:: Descripción Uso de InternetReducción desde el 1 al 9 :: Descripción:: Descripción

Presentación de Seminario Graduación Controles - Ataques Maliciosos a.- Establecer una política formal prohibiendo el uso de software no- autorizado. b.- Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debiera investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas No utilizar CD s, disquetes, memorias USB de fuera de las instalaciones en los equipos del sistema de información de la organización a menos que haya sido previamente verificado que están libres de virus u otros agentes dañinos Los mensajes que se reciban de remitentes extraños o con contenido clasificable como no relacionable con la actividad empresarial deben ser eliminados en el acto, sin proceder a abrirlos PTR

Presentación de Seminario Graduación Controles – Acceso a Internet el usuario no esta autorizado a instalar o retirar cables o dispositivos de la red PTR

Presentación de Seminario Graduación Controles – Correo Electrónico Todos los s procesados por los Sistemas de Información corporativos y redes son considerados propiedad de la organización No usar el correo electrónico para enviar información confidencial/sensible, particularmente a través de internet, a menos que ésta sea primero cifrada por un sistema de cifrado aprobado por el Dpto. Informático Para crear, enviar, reenviar o almacenar s con mensajes o adjuntos que podrían ser ilegales o considerados ofensivos, sexualmente explícitos, racistas, difamatorios, abusivos, obscenos, discriminatorios u otros ofensivos PTR

Presentación de Seminario Graduación Controles – Escape de información Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red En caso de requerir el respaldo de información específica que no esté contemplada dentro de los servidores, el usuario tendrá la obligación de notificarlo al personal de Redes a través de un oficio signado por su Director General, Ejecutivo o de Área, indicando la periodicidad de dicho respaldo, a fin de que se incluya en el compendio de información a resguardar en cinta. PTR

Presentación de Seminario Graduación Controles – Acceso no autorizados PTR Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red Todo recurso compartido deberá tener contraseña o determinar que usuarios tendrán acceso, así como el tipo de permisos asignados Solamente el Director General, Ejecutivo o de Área, por medio de un oficio podrá hacer la petición del uso de los servicios para el personal que labore en su departamento, debiendo indicar los siguientes puntos El servidor llevan un registro detallado de las operaciones ejecutadas en el, por lo cual el usuario será responsable totalmente del buen o mal uso de dichos recursos, así como pérdidas o cambios de información como resultados de errores de operación.

Presentación de Seminario Graduación Controles – Degradación del Hardware PTR El usuario no esta autorizado a instalar o retirar cables o dispositivos de la red El personal que solicite o tenga a resguardo una computadora de escritorio, estación de trabajo, portátil, servidor, impresora, y/o cualquier otro dispositivo de entrada o salida, etc., se compromete a ser responsable por maltrato o mal manejo del mismo o alguno de sus componentes

Presentación de Seminario Graduación Controles – Uso de Internet PTR El personal tendrá acceso al servicio de Internet. Cuando las necesidades del servicio así lo requieran. Prohibir Chats, icq, bbs, irc, talk, write o cualquier programa utilizado para realizar pláticas en línea Cualquier programa destinado a realizar enlaces de voz y video, sin que esto sea previamente autorizado y justificado por la Dirección General, Ejecutiva o de Área Descargas de gran tamaño (mayores a 10 Mb) o uso de archivos de audio y multimedia Sitios de interacción así como redes sociales.

Presentación de Seminario Graduación Fin…

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.