Seguridad Informática

Slides:



Advertisements
Presentaciones similares
SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
Advertisements

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Sistema Integrado de Gestion
Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
AUDITORIA DE SISTEMAS Conceptos introductorios
Seguridad de los sistemas informáticos
Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Estructura Sistema de Control Interno
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
SISTEMA DE CONTROL DE LA MISIÓNDEL PROCESOALCANCECONTABILIDA D ADMINISTRATIVO *Garantizar la eficiencia, eficacia y economía en todas las operaciones.
Situaciones Detectadas en la Entidad…
CGR (Contraloría general de la república) Steven Oviedo Rodríguez
La Automatización de la Gestión Archivística
Presentación de la Norma Técnica de Seguridad de la Información
UNA HERRAMIENTA PARA AGREGAR VALOR
“Adopción de SGSI en el Sector Gobierno del PERÚ”
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
Metodología de Control Interno, Seguridad y Auditoría Informática
Proyecto Trabajo Práctico
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Administración del riesgo en las AFP
Análisis y Gestión de Riesgos
Ing. Diana Elizabeth Tinoco Tinoco
Función de Auditoría Interna
LEY GENERAL DE CONTROL INTERNO: AUTOEVALUACION Y SEVRI*
UNIVERSIDAD AUTóNOMA BENITO JUAREZ DE OAXaCA
Ética en el Uso de la Tecnología M.C. Juan Carlos Olivares Rojas Septiembre 2009.
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
CONTROL INTERNO - COMPONENTES Valoración de Riesgos Profesora: Guillermina López M. Noviembre, 2010.
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
©Copyright 2013 ISACA. Todos los derechos reservados Personal El gerente de seguridad también debe considerar los riesgos relativos al personal:
1.8.3 Métricas de Alineación Estratégica
SGSI y MAS Implantación en el M.H..
Seguridad de la Información Lima Peru Enero 2008.
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
CONTROL INTERNO CONTABLE CONTADURÍA GENERAL DE LA NACIÓN
Seguridad y Auditoria de Sistemas Ciclo
Ing. Ana Elena Murgas Vargas
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
Proveedores de servicios externos
UNIVERSIDAD LATINA. II.EL RIESGO..
 
UNIVERSIDAD "ALONSO DE OJEDA" UNIVERSIDAD "ALONSO DE OJEDA"
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Procesos itil Equipo 8.
Seguridad informática
INTRODUCCIÓN.
Auditoria Computacional
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Septiembre del 2012 Normas de Auditoria.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Control Interno.
Riesgo de Lavado de Activos
Universidad Latina CONTROL INTERNO.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Administración de Riesgos
Ingeniería del Software
Marco Integrado de Control Interno, con enfoque COSO III, 2013
Presentación de la Norma Técnica de Seguridad de la Información.
Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.
Proyectos de Inversión 2015 Superintendencia Nacional de Salud.
Transcripción de la presentación:

Seguridad Informática Conceptos Básicos Estrategias Controles Marzo del 2012 Lcda. Laura de Noboa. MSIG. DOCENTE - UNIVERSIDAD ECOTEC

Agenda Seguridad informática y seguridad de la información Conceptos básicos Amenazas, Vulnerabilidades, Riesgos Objetivos de la Seguridad Requerimientos de seguridad de la información Controles Seguridad Física/Seguridad Lógica/Seguridad Adm Servicios, funcionalidad, tipo

Seguridad Informática Actores Conceptos Básicos Análisis de riesgos Criptografía PKI VPN Analizadores de Protocolos y Vulnerabilidad Firewalls Legislación

Seguridad Informática vs Seguridad de la Información Se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. Para ello existen una serie de métodos, reglas, estándares protocolos, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información Seguridad de la información Son aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistema tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma

Amenazas Virus Evento que puede crear situaciones de incertidumbre Password cracking Fraudes informáticos Spamming Escalamiento de privilegios Exploits Violación de contraseñas Puertos vulnerables abiertos Destrucción de equipamiento Man in the middle Violación de la privacidad de los empleados Backups inexistentes Instalaciones por defecto Robo de información Port scanning Denegación de servicio Desactualización Interrupción de los servicios Ingeniería social Destrucción de soportes documentales Programas “bomba, troyanos” Acceso clandestino a redes Acceso indebido a documentos impresos Mails anónimos con agresiones Incumplimiento de leyes y regulaciones Virus Keylogging Falsificación de información para terceros Intercepción de comunicaciones voz y wireless Hacking de Centrales Telefónicas

Fallos en la programación Vulnerabilidades Incapacidad de resistencia cuando se presenta un evento Personal no capacitado y concientizado Inadecuada asignación de responsabilidades Inadecuado compromiso por la dirección Ausencia de controles Parches no aplicados Ausencia de políticas/ procedimientos Fallos en la programación Ausencia de reportes de incidentes y vulnerabilidades Inadecuado seguimiento y monitoreo de los controles Servicios de log inexistentes o que no son chequeados

Activos de Información Activo se entiende cualquier componente (sea humano, tecnológico, software, etc.) que sustenta uno o más procesos de negocios de una unidad  o área de negocio. Activo es todo aquello que tiene valor para su empresa. La ISO 27001 pide que todos los activos relevantes sean identificados e inventariados. Existe un poco de confusión porque acostumbramos a asociar la expresión “inventario de activos” al  usual inventario de hardware y software

Identificación de Activos de Información Magerit: Es un método formal para investigar los riesgos que soportan los Sistemas de Información  y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos, Magerit se basa en las especificaciones de ISO 27000 Activos de Información

Riesgos Incertidumbre de lograr un objetivo Posibilidad que de una amenaza afecte negativamente la habilidad de un ente para alcanzar su objetivo Situación adversa en la cual existe la posibilidad de desviar un resultado esperado COSO (Gestión de Riesgos) Factor identificado que podría afectar la consecución de un objetivo de: Efectividad de las operaciones (eficacia y eficiencia) Confiabilidad de la información (Caso Enron) Cumplimiento con leyes y regulaciones

Caso Enron Empresa Americana de Houston creada en 1985, negocio de intermediación de electricidad y gas, llego a valer en bolsa 80 millones de dólares. Contratos financieros respaldaban las transacciones de energía Quebró a fines del 2001, su precio de acción cayo desde US$90 a US$0.3, por acción Transacciones entre miembros, firma externas y afiliadas Apalancamiento de la deuda de la empresa (sobreendeudamiento) Caso emblemático para los Comités de Auditoria. Pago de honorarios por servicios de Auditoria estaba por lo 25 millones (independencia del auditor) Problemas Alternos 212 de 248 senadores apoyo a sus campañas, 2000 trabajadores quedaron desempleados y casi sin fondo de pensión Legislación (bursátil y desregulación del sector eléctrico) Exposición de los Auditores de Bancos, de inversiones, calificadoras de riesgos por la falta de señales oportunas Relación entre entidades de gobierno y políticos de todos los sectores con Enron Falta de Ética y transparencia

Visión del riesgo Amenaza EXPLOTA Vulnerabilidades Activos RIESGO Aumentan Aumentan Activos RIESGO Reducen CONTROLES Tasación Requerimientos de Seguridad IMPACTO EN LA ORGANIZACIÓN

Factores de Riesgos Factores: Tipos Ambientales:- Lluvias , inundaciones, terremotos, rayos , entre otros Tecnológicos:- Fallas de hardware y software, sistemas de climatización, sistemas eléctricos, ataques externos, virus, etc. Humanos:- Robo, fraudes, sabotaje, vandalismo, falsificación, alteraciones, etc. Tipos Predecibles Impredecibles

Seguridad de la información La seguridad de la información, es determinar que requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo (activos, riesgos, amenazas, controles) La seguridad de la información se caracteriza por la preservación de: Integridad:- Protección para modificaciones no apropiadas Confidencialidad :- Protección ante accesos no autorizados Disponibilidad:- Usuarios tienen acceso cuando lo requieran

Objetivos Establecer los principios de Seguridad de la Información en la organización Habilitar el conjunto de procedimientos, estrategias mediante el uso de herramientas que permitan garantizar la preservación de la integridad, la disponibilidad y la confidencialidad de la información de una entidad. Minimizar el impacto que puedan tener las situaciones adversar que pudieran afectar a los activos de información.

Importancia Bien protegido. Conoce los activos de información de su empresa? los ha evaluado? Le interesa a la competencia su información confidencial? Cuenta con procedimientos y controles que protejan su información? Cuanto sobreviviría su empresa sin información? Estamos preparados ante incidentes de seguridad?

Requerimientos Evaluación de los riesgos que pueden afectar a la organización, se identifican las amenazas, se evalúan las vulnerabilidades y la probabilidad de que ocurran y se estima el impacto potencial Requerimientos legales, regulatorios y contractuales Caso Entidades Financieras Conjunto particular de principios objetivos y requerimientos para procesar información de la organización ha desarrollado para apoyar sus operaciones.

Controles de Seguridad de Información Término francés Controle Todos los Controles de Seguridad están para fortalecer precisamente principios (confidencialidad, disponibilidad, integridad)y por ende mitigar los riesgos a niveles aceptables. Minimizan los riesgos Son mecanismos que permiten salvaguardas para los activos de información.

Controles de Seguridad de Información

Controles Controles – servicios Controles - funcionalidad Confidencialidad Disponibilidad Integridad No Repudio Controles - funcionalidad Disuasivos, correctivos, preventivos, recuperación compensatorios (funcionalidad) Controles - tipo Controles físicos Controles tecnológicos Controles administrativos

Controles Físicos Disuasivos Para retrasos Detección de intrusos Bardas, Señales de aviso, guardias, perros Para retrasos Cerraduras, controles de acceso Detección de intrusos Internos, externos, CCTV Evaluación de situaciones Procedimientos de guardias, árbol de llamadas Respuesta Procedimientos de emergencias, policía, bomberos, médicos, respaldos

Controles Tecnológicos ACL Cifrado IDS Antivirus Actualizaciones Controles de versiones Firewalls Escaners Tokens

Controles administrativos Políticas de seguridad de información Procesos de respaldos y restauraciones Procesos de respuestas a incidentes Uso de estándares de configuración Guías para el manejo de contraseñas Política de control de cambios Procesos de control de cambios Procedimientos de detección de intrusos

Controles - funcionalidad

Controles - funcionalidad

Controles - Servicios Confidencialidad Disponibilidad Integridad No Repudio Trazabilidad Control de Accesos Legalidad

Controles - Servicios

Componentes de Controles

Matriz de Controles

Modelo de efectividad de controles

Factores al seleccionar controles Análisis costo beneficios Presupuesto, tiempos de implantación, comparativos Legislación y regulaciones Leyes nacionales, internacionales, regulaciones Impacto Niveles de afectación a la operación Seguridad y Confiabilidad Política organizacional Disposiciones internas Efectividad

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.