Protección de los Sistemas de Información Sistemas de Información

Alta dependencia de los SI Redes y medios de comunicación Acceso masivo Cultura informática de los usuarios Para operar un negocio se necesita hacer prioridad la seguridad y los controles IMPORTANCIA DE LA SEGURIDAD EN LOS SISTEMAS DE INFORMACION

 Se refiere a las políticas, procedimientos y medidas técnicas utilizadas para impedir el acceso no autorizado, la alteración, el robo o el daño físico a los sistemas de información.

 Consisten en todos los métodos, políticas y procedimientos organizacionales que garantizan la seguridad de los activos de la organización; la precisión y confiabilidad de sus registros contables, y el apego de las operaciones a las normas de la administración.

OBJETIVOS DE UN SISTEMA SEGURO Confidencialidad Integridad Disponibilidad

Ciclo de la Seguridad Informática Medidas de Seguridad Amenazas Vulnerabilidades Impactos Incidentes Activos Riesgos EXPONEN PÉRDIDA CAUSAN LIMITAN IMPIDEN EXPLOTAN AUMENTAN DISMINUYEN

VULNERABILIDAD  Las amenazas mas comunes pueden derivarse de factores técnicos, organizacionales y del entorno combinados con decisiones administrativas deficientes.  Vulnerabilidad es la debilidad de un sistema informático que permite que sus propiedades de sistema seguro sean violadas  Puede originarse en el diseño, la implementación o en los procedimientos para operar y administrar el sistema

RIESGO  Pérdidas potenciales derivadas de amenazas y vulnerabilidades  Busca representar las pérdidas en términos cuantitativos y/o cualitativos: Frecuencia Importancia Valor

INCIDENTES  Acciones que violan la política de la organización  Algunos son crímenes  Mal uso o abuso interno o externo: – Acceso sin autoridad – Acceso por exceso de autoridad – Acceso con autoridad

 Se entiende por Auditoria “una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización. (B.Sawyer)”.

 La auditor í a inform á tica eval ú a y comprueba los controles y procedimientos inform á ticos m á s complejos, desarrollando y aplicando t é cnicas mecanizadas de auditor í a, incluyendo el uso de software  Los distintos tipos de auditorías que se pueden realizar se clasifican en:  Financieras  Verificativas  Operativas o de Gestión  Técnicas.

 Auditorias financieras las que se hacen con el fin de asegurar el adecuado registro de las transacciones, el cumplimiento de los principios de Contabilidad generalmente aceptados y los planes y regulaciones contables y financieros, que obligan a la organización.  Las auditorias verificativas o de cumplimiento tratan de asegurar a la direcci ó n de la organizaci ó n, que sus pol í ticas, programas y normas se cumplen razonablemente en todo el á mbito de la misma.

 La auditor í a operativa o de gesti ó n es una revisi ó n que comprende las actividades, sistemas y controles dentro de la empresa para conseguir econom í a, eficiencia, eficacia u otros objetivos.  La auditor í a t é cnica o de m é todos es una revisi ó n de los m é todos y t é cnicas utilizadas en la realizaci ó n de las operaciones de la empresa.

 La realizaci ó n de las auditorias corresponde a los auditores, pudi é ndose dividir la funci ó n auditora en dos grandes grupos: La auditor í a externa y la auditor í a interna. La funci ó n de auditor í a inform á tica puede existir en cualquiera de los citados entornos.  La auditor í a interna constituye una funci ó n de evaluaci ó n independiente. Sin embargo, existe en el seno de una entidad y bajo la autorizaci ó n de la direcci ó n con el á nimo de examinar y evaluar las actividades de la entidad. La funci ó n principal del auditor interno es ayudar a la direcci ó n en la realizaci ó n de sus funciones, asegurando:

1.1.- Concepto de Auditoria  La salvaguardia del inmovilizado material e inmaterial de la entidad.  La exactitud y fiabilidad de los registros contables.  El fomento de la eficiencia operativa  La adhesi ó n a las pol í ticas de la entidad y el cumplimiento de sus obligaciones legales.

1.1.- Concepto de Auditoria  El auditor interno est á casi siempre ocupado con la adecuaci ó n de los controles sobre las actividades mecanizadas, as í como con la eficiencia y eficacia de los procedimientos empleados desde el punto de vista de los costos.

1.1.- Concepto de Auditoria  La auditor í a externa constituye una funci ó n de evaluaci ó n independiente y externa a la entidad que se examina. En la mayor í a de las empresas, se contrata anualmente la realizaci ó n de una auditor í a de los estados financieros por parte de un contador p ú blico independiente, bien voluntariamente o bien por obligaci ó n legal.

1.1.- Concepto de Auditoria  El objetivo principal de una auditoria externa es la expresi ó n de una opini ó n respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la informaci ó n financiera.

 Software malicioso (malware): Virus: software mal intencionado que se adjunta a programas o archivo de datos con el proposito de ejecutarse Gusanos: son programas independientes no necesitan del humano para ejecutarse por eso se esparcen mas rapido que los virus Caballos de troya: es un programa de software parece ser benigno pero hace algo inesperado Spyware: vigilan las actividades de navegacion del usuario en la web y presentan publicidad

 Hackers: individuo que intenta obtener acceso no autorizado a un sistema de computo(craker: es con intenciones cirminales  Spoofing : redireccionamiento en la web  Snifer: programa que vigila la inf. Que viaja en una red  Cibervandalismo  Delito informático  Amenazas internas  Vulnerabilidad del software

MECANISMOS DE PROTECCIÓN  Contra-ataques  Cualquier técnica, procedimiento y otra medida que reduce la vulnerabilidad  Debilitan las amenazas o las hacen menos probables  Las medidas de protección administrativas se llaman controles

POLÍTICAS DE SEGURIDAD Especifica las características de seguridad que un sistema debe observar y proveer Especifica las amenazas contra las que la organización debe protegerse y cómo debe protegerse Aplica a los activos de información y otros activos

Entorno de la Seguridad Informática Aseguramiento de la continuidad del negocio

PARA DISCUTIR: ¿Cuál es el rol de la Alta Gerencia en la seguridad informática? ¿Cuál es el rol del usuario en la seguridad informática? ¿ Cuál es el rol de la auditoría? ¿Encriptación y certificados digitales?