La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Conceptos básicos de Riesgos y Seguridad

Publicada porMariangela Rico Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Conceptos básicos de Riesgos y Seguridad"— Transcripción de la presentación:

1 Conceptos básicos de Riesgos y Seguridad
Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA

2 Temario Presentación de la asignatura.
Definición de los temas de investigación. Recursos, Amenazas, Riesgos y Controles.

3 Presentación de la asignatura
INGENIERO DE SISTEMAS Seguridad de Sistemas Auditoría de Sistemas Conceptos y definiciones Herramientas Métodos Recomendaciones prácticas. Tendencias actuales.

4 Estructura de la Asignatura
13 Clases de 3 Horas. 2 Trabajos de Evaluación continua (sem. 6 y 13-14). Evaluación Parcial (sem.8). Evaluación Final (sem.15).

5 Sistema Evaluativo NF= 0,20*EC1+ 0,25*EA+ 0,30*EC2+ 0,25*EB Leyenda:
EA: Evaluación Parcial. EB: Evaluación Final. EC: Evaluación Contínua. (Avance, Investigación, Exposición y Sustentación).

6 Bibliografía TIPTON, H. 2000 Information Security Management Handbook.
WEBER, Ron Information Systems Control and Audit. PIATTINI, Mario Auditoria Informática, un enfoque práctico. NASH Andrew, et.al: PKI: Infraestructura de claves públicas Mc Graw Hill Iberoamericana S.A. 

7 Temas de Investigación
1 Integridad de información Métodos y algoritmos: CRC, Suma de Comprobación, Controles de Paridad, otros. En Bases de Datos (DBMS) En Dispositivos: Discos, CDs, USB, Memorias en Tarjetas, etc. En Comunicaciones: IPSEC, VPN, WAP, WEP, SSH, https, ftps, etc. 2 Métodos de Criptografía y protección Algoritmos: Hash, MD5, SHA Simétricos: DES, 3DES, AES, Rijndael, IDEA, RC4, etc Asimetricos: RSA, Diffie-Hellman, Rabin, ElGamal, etc Métodos y Herramientas: PKI (Public key Infrastructure), Firma digital, Certificados digitales, SSL, SET (Secure Electronic Transactions), PGP (Pretty Good Privacy), PMI (Privilege Management Infrastructure). Criptografía cuántica, fractal, etc. Computación Cuántica 3 Identificación personal de acceso Algo que conoces: Firma Digital, PIN, Sistemas Integrales: Para negocios Algo que tienes: Tarjetas Smart Cards, Rusco, RFID (Radio Frecuencia) Algo que eres: Sistemas Biométricos, Firma digital Regulaciones Internacionales y Peruanas sobre Sistemas de Identificación, Protección de Datos, etc. 4 Protección de accesos según plataformas tecnológicas Mainframe: OS390, Z10, AS400 UNIX, Linux Windows 2003, XP, Vista Servidores de Seguridad: LDAP, Firewall, etc. 5 Intrusión y violación Programas intrusivos: Spam, Hoax, Virus: Klez-Elkern, Pharmings, Troyanos, Backdoor, Spyware, Spoofing, Phreaker, Gusanos, Adware, Malware Métodos de Ataque: Phishing, Ataque de denegación de servicio, Ingeniería social Organizaciones: Hackers, Crackers, Hacking ético, Robo de Información, crimen organizado Vulnerabilidades: Actualizaciones no instaladas, Puertos abiertos, Agujeros de Seguridad en las Redes, Debilidades de Control Sistemas y herramientas de prevención y detección: Firewalls, IDS, IPS, DLP, IWSS, IMSS Regulaciones Internacionales y Peruanas: Políticas de Seguridad, Plan de Seguridad Informática, etc. 6 Seguridad física y continuidad operativa Seguridad Física Plan de Continuidad de Negocios Regulaciones Internacionales y Peruanas sobre Seguridad Física y Planes de Contingencia 7 Gestión de Riesgos Metodologías y software de Gestión de Riesgos: Magerit, PMI-Pmbok (Project Management Inst), MSF (Microsoft Solution Framework - Risk Management) Regulaciones Internacionales y Peruanas sobre Riesgos, Basilea II, etc

8 Recursos Instalaciones y Activos | Infraestructura Tecnológica
Hardware Software Información Explotación Tecnológica Recursos Humanos

9 Recursos - Identificación
Tangibles: Computadoras, registros de datos, registros de auditoría, manuales, libros, discos, etc. Intangibles: Seguridad y salud del personal, privacidad de usuarios, contraseñas, imagen pública, etc.

10 Vulnerabilidades Debilidades o agujeros en la seguridad de la organización Puntos y control de acceso (lógicos y físicos) Falta de Mantenimiento Personal sin conocimiento Desactualización de sistemas críticos

11 Amenazas / Ataques Desastres Naturales
Errores Humanos y Procedimentales Errores Tecnológicos: Hardware y Software Actos Malintencionados Entorno de la Empresa: Competidores

12 Ataques Provocados por la naturaleza
Lluvias, inundaciones, terremotos, rayos, etc.

13 Ataques Provocados por el hombre
Escucha electrónica Hackers, crackers, piratas. Ataques físicos Virus.

14 Proporciones 20% 80% Externos Internos

15 Procedencia de los ataques
Externa. Competidores. Usuarios. Delincuentes. Interna. Administrativos. Ingenieros. Operadores. Programadores. Auxiliares.

16 Posibles acciones de los competidores
sabotaje espionaje robo de programas soborno

17 Posibles acciones de los usuarios
Obtención de información. Entrega de información a competidores.

18 Infección viral Reproducción Transmisión INFECCIÓN Archivo Infectado

19 Tendencias de los ataques

20 Tendencias de los ataques

21 Posibles acciones de los administrativos
Falsificar información. Entrega de información a externos.

22 Posibles acciones de los ingenieros
Activar defectos. Acceder a los sistemas de seguridad.

23 Posibles acciones de los operadores
Copiar archivos. Destruir archivos.

24 Posibles acciones de los programadores
Robar programas o datos. Introducir fallas.

25 Posibles acciones de los auxiliares
Vender reportes o duplicados. Buscar informaciones

26 Riesgos Es la posibilidad de que ocurra un acontecimiento que pudiera afectar el logro de los objetivos de la organización. El riesgo se mide en términos de impacto y probabilidad.

27 Riesgos -Definiciones
Riesgo del Negocio: Aquellos que pueden afectar la viabilidad a largo plazo de un determinado negocio o de la empresa en su conjunto. Riesgo Inherente: Posibilidad de errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control. Riesgo de Control: Posibilidad de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna. Riesgo Residual: Es el riesgo que no esta considerado dentro de los sistemas de control implantados.

28 Riesgos - tipos básicos
Pérdida de confidencialidad Pérdida de integridad Pérdida de disponibilidad Pérdida de Activos

29 Controles Procesos, herramientas, procedimientos, métodos, acciones, etc. que permiten mitigar los riesgos en función al costo / beneficio definido por la organización.

30 Sistema de Control Interno
Mapa de Recursos (Procesos) GESTIÓN DEL NEGOCIO Modelo de Riesgos Modelo de Controles Evaluación de Controles

31 Conclusiones No existe ninguna organización a salvo de ataques a sus sistemas informáticos. No existe ningún sistema informático, ni organización absolutamente seguros. Subjetivo: existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza

Descargar ppt "Conceptos básicos de Riesgos y Seguridad"

Presentaciones similares

ÍNDICE Mission Statement Breve historia Posicionamiento

ÍNDICE Mission Statement Breve historia Posicionamiento
Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
Introducción Seguridad ¿Qué proteger? ¿De qué proteger?

Introducción Seguridad ¿Qué proteger? ¿De qué proteger?
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
Auditoría Informática

Auditoría Informática
Introducción Empezamos describiendo al comercio electrónico como el proceso de comprar y vender bienes y servicios electrónicamente, mediante transacciones.

Introducción Empezamos describiendo al comercio electrónico como el proceso de comprar y vender bienes y servicios electrónicamente, mediante transacciones.
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
Universidad Tecnológica OTEIMA

Universidad Tecnológica OTEIMA
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.

Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Seguridad de redes empresariales

Seguridad de redes empresariales
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Seguridad y Auditoria de Sistemas Ciclo

Seguridad y Auditoria de Sistemas Ciclo
UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

Presentaciones similares

Anuncios Google