La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Riesgos, seguridad y recuperación de desastres

Publicada porJosé María Parra Cabrera Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Riesgos, seguridad y recuperación de desastres"— Transcripción de la presentación:

1 Riesgos, seguridad y recuperación de desastres
capítulo 14 Riesgos, seguridad y recuperación de desastres © 2015 Cengage Learning

2 objetivos Describir los principales objetivos de seguridad de la información Enumerar los principales tipos de riesgos a los sistemas de información Enumerar los diferentes tipos de ataques a sistemas en red Describir los tipos de controles necesarios para asegurar la integridad de la entrada de datos y el procesamiento y el comercio electrónico ininterrumpida © 2015 Cengage Learning

3 Objetivos (cont.) Describir los diferentes tipos de medidas de seguridad que se pueden implementar para proteger los datos y la ISS Mejorar la seguridad de su sistema de información personal y la información que almacena Reconocer estafas en línea Delinear los principios de desarrollo de un plan de recuperación Explicar los aspectos económicos de la seguridad de la información © 2015 Cengage Learning

4 Objetivos de Seguridad de la Información
La protección de los recursos de TI es una preocupación primaria Asegurar los IS corporativa se está convirtiendo cada vez más desafiante Los principales objetivos de seguridad de la información Reducir el riesgo de la operación de sistemas cese Mantener la confidencialidad de la información Asegurar la integridad y fiabilidad de los recursos de datos Garantizar la disponibilidad ininterrumpida de los recursos Asegurar el cumplimiento de las políticas y leyes © 2015 Cengage Learning

5 Objetivos de la Información Seguridad (cont.)
Leyes aprobadas por el Congreso de Estados Unidos que se establecen normas para la protección de la privacidad Ley de 1996 Portabilidad del Seguro de Salud (HIPAA) Ley Sarbanes-Oxley de 2002 (SOX) tríada de la CIA: Conceptos fundamentales de los sistemas de información de seguridad doONFIDENCIALIDAD yontegridad UNDISPONIBILIDAD © 2015 Cengage Learning

6 Los riesgos para los Sistemas de Información
Los riesgos asociados con la nube de computación y almacenamiento de datos Falta del tiempo: El período de tiempo durante el cual un IS no está disponible $ 26 de billón pierden anualmente en los EE.UU. debido al tiempo de inactividad Los costos de tiempo de inactividad varían dependiendo la industria, el tamaño de la empresa, y otros factores © 2015 Cengage Learning

7 Los riesgos para hardware
La causa # 1 de inactividad del sistema es un fallo de hardware Las principales causas de daños en el hardware Desastres naturales Incendios, inundaciones, terremotos, huracanes, tornadosy relámpago Apagones y caídas de tensión Apagón: Pérdida total de la electricidad Apagón: Pérdida parcial de la electricidad Sistema de alimentación ininterrumpida (UPS): Energía de reserva por un tiempo corto © 2015 Cengage Learning

8 Los riesgos para Hardware (Cont.)
Las principales causas de daños en el hardware Vandalismo destrucción deliberada © 2015 Cengage Learning

9 Los riesgos a datos y aplicaciones
Los datos deben ser una preocupación primordial, ya que es a menudo un recurso único Los datos y las aplicaciones son susceptibles a la alteración, daños y robo El culpable de los daños en el software o los datos es casi siempre humana registro de pulsaciones (keylogging): Software registra las pulsaciones de teclas individuales © 2015 Cengage Learning

10 Los riesgos para Datos y Aplicaciones (Cont.)
Ingeniería social: Los estafadores se hacen pasar por personal de servicio, y piden contraseñas El robo de identidad: Pretendiendo ser otra persona Phishing: mensajes falsos usuarios directos a un sitio a datos personales “actualización” spear phishing: información personal demandado para atacar los sistemas de organización, en particular las instituciones financieras Terrorismo cibernético: Ataques terroristas contra los sistemas de información de las organizaciones empresariales © 2015 Cengage Learning

11 Los riesgos para Datos y Aplicaciones (Cont.)
Terrorismo cibernético implica ataques terroristas contra los sistemas de información de las organizaciones empresariales con la intención de: Interrumpir red de comunicacion Implementar ataques de denegación de servicio Destruir / robar información corporativa / Gobierno Algunos riesgos para los datos Modificación Destrucción desfiguración web © 2015 Cengage Learning

12 Los riesgos para Datos y Aplicaciones (Cont.)
alteración o destrucción deliberada se hace a menudo como una broma, pero tiene un alto costo El objetivo de vandalismo en línea puede ser la página web de una empresa Piratería: el acceso no autorizado Honeytoken: Un registro falso en una base de datos en red utiliza para combatir a los piratas informáticos © 2015 Cengage Learning

13 Los riesgos para Datos y Aplicaciones (Cont.)
Tarro de miel: Un servidor que contiene una copia duplicada de una base de datos o una base de datos falsos Educa a los oficiales de seguridad sobre puntos vulnerables Virus: Se extiende desde un ordenador a otro Gusano: Se extiende en una red sin intervención humana Software antivirus: Protege contra virus caballo de Troya: Un virus disfrazado de software legítimo © 2015 Cengage Learning

14 Los riesgos para Datos y Aplicaciones (Cont.)
Bomba lógica: El software que está programado para causar daños a una hora específica el daño no intencional, no maliciosa puede ser causada por: Pobre formación La falta de adherencia a los procedimientos de copia de seguridad la descarga no autorizada e instalación de software puede causar daño Humano error © 2015 Cengage Learning

15 Los riesgos para las operaciones en línea
Muchos hackers tratan diariamente para interrumpir los negocios en línea Algunos tipos de ataques Acceso no autorizado El robo de datos Desfigurar de páginas web Negación de servicio computadoras de secuestro © 2015 Cengage Learning

16 Negación de servicio Denegación de servicio (DoS): Un atacante lanza un gran número de solicitudes de información Ralentiza el tráfico hacia abajo legítimo sitio denegación de servicio distribuido (DDoS): un atacante lanza un ataque DoS desde varios ordenadores Por lo general, lanzado desde los ordenadores personales secuestrados llamados “zombies” No existe una cura definitiva para esta Un sitio puede filtrar el tráfico ilegítimo © 2015 Cengage Learning

17 secuestro de ordenador
Secuestro: El uso de algunos o todos los recursos de un ordenador sin el consentimiento de su propietario A menudo se hace para hacer un ataque DDoS Hecho mediante la instalación de un software larva del moscardón en la computadora propósito principal de secuestro suele ser para enviar correo basura Motores de búsqueda se plantan al explotar agujeros de seguridad en el software de los sistemas operativos y las comunicaciones Un bot por lo general se instala el software de redireccionamiento de correo © 2015 Cengage Learning

18 controles controles: Limitaciones y restricciones impuestas a un usuario o un sistema de Puede ser utilizado para asegurar contra riesgos También se utilizan para asegurar que los datos sin sentido, no se celebra Puede reducir el daño causado a los sistemas, aplicaciones y datos © 2015 Cengage Learning

19 Figura 14.1 controles comunes que se utilizan para proteger los sistemas de riesgos © 2015 Cengage Learning © 2015 Cengage Learning

20 fiabilidad de las aplicaciones y controles de entrada de datos
Una aplicación confiable puede resistir el uso inadecuado como la entrada de datos incorrectos o la transformación La aplicación debe proporcionar mensajes claros cuando se producen errores o malos usos deliberados Los controles también se traducen las políticas de negocio en las características del sistema © 2015 Cengage Learning

21 Apoyo Apoyo: La duplicación periódica de todos los datos
Las matrices redundantes de discos independientes (RAID): Conjunto de discos programados para replicar los datos almacenados Los datos deben ser transportados de forma rutinaria fuera de las instalaciones como la protección de un desastre en el sitio Algunas empresas se especializan en servicios de respaldo o instalaciones de copia de seguridad para su uso en caso de un desastre en el sitio © 2015 Cengage Learning

22 Controles de acceso Los controles de acceso: Medidas adoptadas para garantizar sólo los usuarios autorizados tienen acceso a un ordenador, red, aplicaciones o datos bloqueos físicos: asegurar el equipo en una instalación cerraduras de software: determinar quién está autorizado Tipos de controles de acceso Lo que sabe: los códigos de acceso, como el ID de usuario y contraseña Lo que tienes: requiere dispositivos especiales Lo que eres: características físicas únicas © 2015 Cengage Learning

23 Controles de acceso (cont.)
Los códigos de acceso y contraseñas se almacenan generalmente en el sistema operativo o en una base de datos tarjeta de seguro es más segura que una contraseña Requiere el acceso de dos factores biométrica: Utiliza características físicas únicas, tales como huellas dactilares, exploraciones de retina, o impresiones de voz Hasta el 50 por ciento de las llamadas al soporte son de personas que han olvidado sus contraseñas La biometría puede eliminar este tipo de llamadas © 2015 Cengage Learning

24 Transacciones atómicas
transacción atómica: Un conjunto de transacciones indivisibles Requiere todas las transacciones en el sistema que se ejecuta por completo, o ninguno son ejecutados Asegura que sólo la plena entrada se produce en todos los archivos correspondientes para garantizar la integridad de los datos Es un control contra el mal funcionamiento y también evita el fraude © 2015 Cengage Learning

25 Figura 14.2 Atómica asegurar las transacciones actualización de todos los archivos correspondientes con precisión © 2015 Cengage Learning © 2015 Cengage Learning

26 Pista de auditoría Pista de auditoría: Una serie de hechos documentados que ayudan a detectar que grabó el cual las transacciones, en qué momento, y bajo cuya aprobación A veces se crea automáticamente a partir de datos y marcas de tiempo Ciertos controles de políticas y seguimiento de auditoría se requieren en algunos países Los sistemas de información del auditor: Una persona cuyo trabajo es encontrar e investigar los casos fraudulentos © 2015 Cengage Learning

27 Medidas de seguridad Las organizaciones pueden proteger contra ataques utilizando diversos enfoques, incluyendo: Los cortafuegos Autenticación encriptación Firmas digitales Los certificados digitales © 2015 Cengage Learning

28 Firewalls y servidores proxy
firewall: hardware y software que bloquea el acceso a los recursos informáticos La mejor defensa contra el acceso no autorizado a través de Internet Los cortafuegos están integrados de forma rutinaria en los routers DMZ: Enfoque zona desmilitarizada Un extremo de la red está conectado a la red de confianza, y el otro extremo a la Internet La conexión se establece mediante un servidor proxy © 2015 Cengage Learning

29 Firewalls y servidores proxy (cont.)
Servidor proxy: “Representa” otro servidor para todas las solicitudes de información de dentro de los recursos la confianza red También se puede colocar entre Internet y la red de confianza cuando no hay DMZ © 2015 Cengage Learning

30 Autentificación y encriptación
Autenticación: El proceso de asegurar que usted es quien dice ser encriptación: La codificación de un mensaje en un formato ilegible Los mensajes son encriptados y autenticados para garantizar la seguridad registros cuando se comunica la información confidencial, por ejemplo, financieras y médicas importantes Un mensaje puede ser texto, imagen, sonido u otro información digital © 2015 Cengage Learning

31 Autentificación y encriptación (cont.)
revuelven los programas de cifrado de la información transmitida texto plano: El mensaje original texto cifrado: El mensaje codificado Cifrado utiliza un algoritmo matemático y una clave Clave: una combinación única de bits que va a descifrar el texto cifrado cifrado de clave pública: utiliza dos claves, una pública y una privada © 2015 Cengage Learning

32 Figura 14. 4 comunicaciones cifrado aumenta la seguridad
Figura 14.4 comunicaciones cifrado aumenta la seguridad © 2015 Cengage Learning © 2015 Cengage Learning

33 Autentificación y encriptación (cont.)
El cifrado simétrico: Cuando el emisor y el receptor utilizan la misma clave El cifrado asimétrico: Tanto una pública y una clave privada se utilizan Transport Layer Security (TLS): Un protocolo para las transacciones en la Web que utiliza una combinación de cifrado de clave pública y clave simétrica HTTPS: La versión segura de HTTP Firma digital: Un medio para autenticar mensajes en línea; implementado con claves públicas © 2015 Cengage Learning

34 Figura 14.5 simétrico (clave secreta) y el cifrado asimétrico (clave pública)
© 2015 Cengage Learning © 2015 Cengage Learning

35 Autentificación y encriptación (cont.)
Resumen del mensaje: Huella digital única del archivo Los certificados digitalesarchivos de computadora que asocian la identidad de uno con la clave pública de uno: Emitido por la autoridad de certificación autoridad de certificación (CA): Un tercero de confianza Un certificado digital contiene el nombre de su titular, un número de serie, sus fechas de vencimiento, y una copia de la clave pública del titular También contiene la firma digital de la CA © 2015 Cengage Learning

36 Figura 14.6 firmas digitales Cómo transmiten datos en Internet
© 2015 Cengage Learning © 2015 Cengage Learning

37 Figura 14.5 (cont.) Simétrico (clave secreta) y el cifrado asimétrico (clave pública)
© 2015 Cengage Learning © 2015 Cengage Learning

38 La desventaja de Medidas de Seguridad
Inicio de sesión único (SSO): El usuario debe introducir su nombre / contraseña de una sola vez Inicio de sesión único ahorra tiempo empleados Encriptación más lenta la comunicación Cada mensaje debe ser encriptada y entonces descifrado especialistas de TI deben explicar claramente las consecuencias de las medidas de seguridad a la alta dirección © 2015 Cengage Learning

39 Medidas de recuperación
Las medidas de seguridad pueden reducir percances, pero nadie puede controlar todos los desastres La preparación para desastres no controlados requiere que las medidas de recuperación están en su lugar La redundancia puede usarse Muy caro, especialmente en sistemas distribuidos Otras medidas se deben tomar © 2015 Cengage Learning

40 El Plan de Recuperación de Negocios
plan de recuperación de negocio: Un plan detallado sobre lo que debe hacerse y por quién, si los sistemas críticos bajan También llamado plan de recuperación de desastres, plan de reanudación de negocios, o un plan de continuidad de negocio El desarrollo de un plan de recuperación de negocio Obtener el compromiso de la administración para el plan Establecer un comité de planificación Realizar la evaluación de riesgos y análisis de impacto © 2015 Cengage Learning

41 El Plan de Recuperación de Negocios (cont.)
El desarrollo de un plan de recuperación de negocio (cont.) Dar prioridad a las necesidades de recuperación las aplicaciones de misión crítica: Aquellos sin la cual la empresa no puede realizar operaciones Seleccionar un plan de recuperación Seleccione los vendedores Desarrollar e implementar el plan Probar el plan Continuamente probar y evaluar © 2015 Cengage Learning

42 Planificación de recuperación y los proveedores de sitios calientes
Puede externalizar los planes de recuperación a las empresas que se especializan en la planificación de recuperación de desastres sitios calientes: Sitios alternativos que una empresa puede utilizar cuando se produce un desastre Los sitios de respaldo disponen de escritorio, sistemas informáticos, y enlaces de Internet Las empresas que implementan los sitios calientes IBM Hewlett Packard SunGard Availability Services © 2015 Cengage Learning

43 La economía de la Seguridad de la Información
Las medidas de seguridad deben ser considerados como análogos a los seguros El gasto en medidas de seguridad debe ser proporcional al daño potencial Una empresa debe evaluar la tasa mínima aceptable de tiempo de inactividad del sistema y garantizar que la empresa puede sostener financieramente el tiempo de inactividad © 2015 Cengage Learning

44 ¿Cuánta seguridad es suficiente seguridad?
Los costos a considerar en las medidas de seguridad Coste de los daños potenciales Costo de implementar una medida preventiva Dónde es un evento probable, y es el número de eventos © 2015 Cengage Learning

45 ¿Cuánta seguridad es suficiente seguridad? (Cont.)
A medida que el coste de las medidas de seguridad aumenta, el costo del daño potencial disminuye Las empresas tratan de encontrar el punto óptimo La empresa debe definir lo que necesita ser protegido Las medidas de seguridad no deben exceder el valor del sistema protegido © 2015 Cengage Learning

46 Figura 14.8 gasto óptimo en la seguridad de TI © 2015 Cengage Learning

47 El tiempo de inactividad calcular
Las empresas deben tratar de minimizar el tiempo de inactividad, pero el beneficio de mayor tiempo de actividad debe ser comparado con el coste añadido sistemas de misión crítica deben estar conectados a una fuente alternativa de energía, duplicado con un sistema redundante, o ambos Muchos IS ahora están interconectados con otros sistemas El mayor el número de sistemas interdependientes, mayor de lo esperado falta del tiempo reducen espera redundancias falta del tiempo © 2015 Cengage Learning

48 Resumen El propósito de los controles y medidas de seguridad es mantener la funcionalidad de los IS Los riesgos para los IS incluyen riesgos para hardware, datos y redes Los riesgos para el hardware incluyen los desastres naturales y el vandalismo Los riesgos para los datos y las aplicaciones incluyen el robo de información, robo de identidad, alteración de datos, destrucción de datos, desfiguración de sitios web, virus, gusanos, bombas lógicas y contratiempos no malintencionada © 2015 Cengage Learning

49 Resumen (cont.) Los riesgos para los sistemas en línea incluyen denegación de servicio y secuestro equipo Controles se utilizan para minimizar la interrupción Los controles de acceso requieren información que se ha introducido antes se ponen a disposición los recursos transacciones atómicas asegurar la integridad de datos Los cortafuegos protegen contra ataques de Internet Los sistemas de cifrado revuelven mensajes para protegerlos en Internet © 2015 Cengage Learning

50 Resumen (cont.) Una clave se utiliza para cifrar y descifrar mensajes
SSL, TLS, y HTTPS son los estándares de encriptación diseñado para la web Claves y certificados digitales se pueden comprar de una autoridad de certificación muchas organizaciones utilizar el servicios de organizaciones que proporcionar calor sitios La evaluación cuidadosa de la cantidad gastada en las medidas de seguridad es necesario © 2015 Cengage Learning

51 Resumen (cont.) Redundancia reduce la probabilidad de tiempo de inactividad Los gobiernos están obligados a proteger a los ciudadanos contra la delincuencia y el terrorismo © 2015 Cengage Learning

Descargar ppt "Riesgos, seguridad y recuperación de desastres"

Presentaciones similares

TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
CONSEJOS DE PROTECCIÓN EN LA RED. ¿QUÉ ES LA SEGURIDAD EN LA RED ? Es un nivel de seguridad que garantiza que el funcionamiento de una red sea óptimo.

CONSEJOS DE PROTECCIÓN EN LA RED. ¿QUÉ ES LA SEGURIDAD EN LA RED ? Es un nivel de seguridad que garantiza que el funcionamiento de una red sea óptimo.
Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
Capítulo 8. La seguridad en la red Instalación y Mantenimiento de Servicios de Redes Locales I.E.S. Murgi Curso 2006-2007 Jose L. Berenguel Gómez Mª Jose.

Capítulo 8. La seguridad en la red Instalación y Mantenimiento de Servicios de Redes Locales I.E.S. Murgi Curso Jose L. Berenguel Gómez Mª Jose.
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.

En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
Firma Digital. Definición La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales,

Firma Digital. Definición La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales,
ADQUISICION E IMPLEMENTACION KARINA CAIZA U. AUDITORIA DE SISTEMAS INFORMATICOS.

ADQUISICION E IMPLEMENTACION KARINA CAIZA U. AUDITORIA DE SISTEMAS INFORMATICOS.
Foro Nacional de Certificación y Firma Electrónica Lic. Zorelly González Certificación Electrónica y la FII Fundación Instituto de Ingeniería.

Foro Nacional de Certificación y Firma Electrónica Lic. Zorelly González Certificación Electrónica y la FII Fundación Instituto de Ingeniería.
Certificación digital de Clave pública

Certificación digital de Clave pública
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:

Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
Control Interno y Riesgos en TIs

Control Interno y Riesgos en TIs
INTRODUCCIÓN A SISTEMAS FIREWALL

INTRODUCCIÓN A SISTEMAS FIREWALL
Un universo de información

Un universo de información
Seguridad de redes empresariales

Seguridad de redes empresariales
Seguridad Informatica

Seguridad Informatica
Introducción a la Seguridad Informática

Introducción a la Seguridad Informática
U.T. 11: Introducción A Las Bases De Datos

U.T. 11: Introducción A Las Bases De Datos
Fase 4 – Maintaining Access (Mantener Acceso)

Fase 4 – Maintaining Access (Mantener Acceso)

Presentaciones similares

Anuncios Google