Instituto de Educación Superior Tecnológico “Huaycán” Seguridad Informática Mag. Yovana Connie Roca Avila.

Definir que es la seguridad informática. Conocer los softwares malignos

SEGURIDAD DE LA INFORMACIÓN Políticas, procedimientos y técnicas Asegurar Preservación Confidencialidad, integridad y disponibilidad Los sistemas implicados en su tratamiento

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Confidencialidad

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Integridad Modificada por quien está autorizado y de manera controlada.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Disponibilidad

Términos (virus informáticos, spyware, hacker, crakers Phishing…

Firewall (Contrafuegos) Elemento de red ¿De qué puede proteger un Firewall? Asegurar que solamente las comunicaciones autorizadas son las permitidas. Ataques externos. Accesos no deseados. Se trata de aplicaciones destinadas a prevenir que penetren en la PC elementos no deseados vía Internet. Bloquear las comunicaciones no autorizadas y registrarlas.

Firewall (Contrafuegos) Elemento de red ¿De qué NO puede proteger un Firewall? Ataques internos en la misma red. Mala configuración de zonas desmilitarizadas. Falta de mantenimiento de las políticas. Virus informáticos. Inexperiencia del administrador.

¿Qué es un virus informático? Programa informático que se reproduce a sí mismo y ataca al sistema. Puede reproducirse por la red. Puede ser programado para dañar gravemente un sistema (Bombas lógicas) Puede camuflarse en programas ‘conocidos’ (Troyanos)

¿De qué me protege un antivirus? ¿Qué es un antivirus? Son las herramientas específicas para solucionar el problema de los virus ¿De qué me protege un antivirus? Alteración del correcto funcionamiento. Ejecución de códigos nocivos en el equipo.

CICLO DE VIDA DE UN VIRUS CREACIÓN GESTACIÓN REPRODUCCIÓN ACTIVACIÓN DESCUBRIMIENTO ASIMILACIÓN ERRADICACIÓN

HACKERS Expertos manejo del ordenador Lenguaje ensamblador

SPAM

software que recopila información SPYWARE software que recopila información Después transmite esta información Sin permiso Entidad externa

Se conoce como ‘phishing’ a la suplantación de identidad. Pishing Se conoce como ‘phishing’ a la suplantación de identidad. PROPÓSITOS Apropiarse de datos confidenciales de los usuarios.

Ejemplo de un intento de phishing, haciéndose pasar por un e-mail oficial, trata de engañar a los miembros del banco para que den información acerca de su cuenta con un enlace a la página del phisher.

Procedimientos para protegerse del "phishing“: Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. Asegúrese de que el sitio Web utiliza cifrado. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.

Procedimientos para protegerse del "phishing“: Nunca responda a solicitudes de información personal a través de correo electrónico. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. Asegúrese de que el sitio Web utiliza cifrado.

Casos Reales

Casos Reales

Instituto De Educación Superior Tecnológico “Huaycán” Gestión de la Seguridad Seguridad Informática Mag. Yovana Roca Avila

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SGSI (El Sistema de Gestión de Seguridad de la Información) SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI (El Sistema de Gestión de Seguridad de la Información) La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Seguridad de la información:

(International Organization for Standardization) SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué es ISO? (International Organization for Standardization) ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27000 ISO 27003 Normas relacionadas con sistemas de gestión de seguridad de la información. Guía de implantación de un SGSI. ISO 27005 ISO 27004 métricas y técnicas de medida de la efectividad de un SGSI Guía para la gestión del riesgo de seguridad de la información ISO 27006 (proceso de acreditación de entidades de certificación y el registro de SGSIs).

¿Qué es la norma ISO 27001? Proporciona un modelo para establecer, SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué es la norma ISO 27001? Proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Ciclo de Deming) Se basa en un ciclo de vida PDCA de mejora continua. Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.

Riesgo

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué aporta la ISO 27001 a la seguridad de la información de una empresa? Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué aporta la ISO 27001 a la seguridad de la información de una empresa? Ayuda a la empresa a Gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, etc.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Quiero implantar ISO 27001, ¿por dónde empiezo? Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002. Curso de información ((de introducción a la norma, a su implantación y su auditoría). ) http://www.iso.org Recopilar información WWW. servicios de una empresa consultora Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas para pedir formalmente la visita de auditoría Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc. Concienciar a todo el personal.

Mag. Yovana Connie Roca Avila Instituto de Educación Superior Tecnológico “Huaycán” Software empleados en la actualidad para la seguridad informática. Políticas de seguridad. Seguridad Informática Mag. Yovana Connie Roca Avila

Reconocer software actuales de seguridad. Definir las políticas y normas de seguridad. Elaborar políticas de seguridad para la conservación y preservación de la información

Software empleados en la actualidad para la seguridad informática Sistema de Protección contra Malware, el Small Office Security, que ofrece protección óptima y control central para PCs y servidores. Administración del uso de la Internet por los empleados Proteger a las empresas contra el software malicioso y, al mismo tiempo, aumenta la productividad de los empleados Limitar el uso de redes sociales a ciertas horas del día

Software empleados en la actualidad para la seguridad informática Detección y prevención de intrusiones para aplicaciones web,“firewall web”.

Software empleados en la actualidad para la seguridad informática Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc.(Tiempo real). Seguridad integral de redes ofrece protección a la velocidad de su negocio. Integran firewall, antivirus, antiphishing, antispam, filtrado de contenidos y calidad de servicio (QoS). También plantea soluciones de protección completa para correo electrónico, acceso remoto seguro a recursos de la red y control remoto de los equipos.

Políticas y Normas de Seguridad Política: Son instrucciones mandatarias que indican la intención de la alta gerencia respecto a la operación de la organización. Puede prohibir o permitir acceder (información - áreas) Están en base a un análisis de riesgo al que esta expuesto la empresa o el sistema, basándose en lo siguiente ¿Qué proteger? ¿Cómo proteger? ¿De qué o quién proteger?

Etapas de las Políticas Fase de desarrollo Fase de implementación Fase de mantenimiento Fase de eliminación: política es creada, revisada y aprobada se retira cuando no se requiera más comunicada y acatada actualizarla

Se tienen en cuenta … Física La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos. Lógica

normas de seguridad Políticas de seguridad Previa aprobación Entidades correspondientes además competentes al área jurídica, aplicándolo y haciendo cumplir dichas políticas. Documentación

normas de seguridad Permite la dirección eficaz del sistema de seguridad Facilitan la rápida formación y concientización del personal Impiden que existan vacíos acerca de la seguridad Facilitar la comunicación y la seguridad, aumentan el sentido de seguridad en el usuario Permiten un manejo excelente de las instalaciones y equipos Homogenizan medios y procedimientos

gUÍA Es una declaración general deben utilizada Recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Considerarse al implementar la seguridad.

MEDIDAS TÉCNICAS Características de los productos referentes Características de los productos Consistentes en la imposición de requisitos relativos a las formalidades administrativas La seguridad o las dimensiones La calidad Requisitos de embalaje, marcado y el etiquetado de los productos La terminología Los símbolos

Procedimientos Delinear los pasos que deben ser seguidos por una dependencia. Son desarrollados, implementados y supervisados. Los procedimientos por el dueño del proceso seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican.

La implantación de seguridad de sistemas incluyen Políticas + Procedimientos Medidas técnicas

.. Y su aplicación correcta permite: Proteger los activos de la entidad, incluyendo los secretos comerciales. Mantener una posición e imagen competitiva.

.. entonces Seguridad Inversión Auditoria