Instituto de Educación Superior Tecnológico

Presentación del tema: "Instituto de Educación Superior Tecnológico"— Transcripción de la presentación:

1 Instituto de Educación Superior Tecnológico
“Huaycán” Seguridad Informática Mag. Yovana Connie Roca Avila.

2 Definir que es la seguridad informática.
Conocer los softwares malignos

3 SEGURIDAD DE LA INFORMACIÓN
Políticas, procedimientos y técnicas Asegurar Preservación Confidencialidad, integridad y disponibilidad Los sistemas implicados en su tratamiento

4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Confidencialidad

5 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Integridad Modificada por quien está autorizado y de manera controlada.

6 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Disponibilidad

7 Términos (virus informáticos, spyware, hacker, crakers
Phishing…

8 Firewall (Contrafuegos)
Elemento de red ¿De qué puede proteger un Firewall? Asegurar que solamente las comunicaciones autorizadas son las permitidas. Ataques externos. Accesos no deseados. Se trata de aplicaciones destinadas a prevenir que penetren en la PC elementos no deseados vía Internet. Bloquear las comunicaciones no autorizadas y registrarlas.

9 Firewall (Contrafuegos)
Elemento de red ¿De qué NO puede proteger un Firewall? Ataques internos en la misma red. Mala configuración de zonas desmilitarizadas. Falta de mantenimiento de las políticas. Virus informáticos. Inexperiencia del administrador.

10 ¿Qué es un virus informático?
Programa informático que se reproduce a sí mismo y ataca al sistema. Puede reproducirse por la red. Puede ser programado para dañar gravemente un sistema (Bombas lógicas) Puede camuflarse en programas ‘conocidos’ (Troyanos)

11 ¿De qué me protege un antivirus?
¿Qué es un antivirus? Son las herramientas específicas para solucionar el problema de los virus ¿De qué me protege un antivirus? Alteración del correcto funcionamiento. Ejecución de códigos nocivos en el equipo.

12 CICLO DE VIDA DE UN VIRUS
CREACIÓN GESTACIÓN REPRODUCCIÓN ACTIVACIÓN DESCUBRIMIENTO ASIMILACIÓN ERRADICACIÓN

13

14

15 HACKERS Expertos manejo del ordenador Lenguaje ensamblador

16 SPAM

17 software que recopila información
SPYWARE software que recopila información Después transmite esta información Sin permiso Entidad externa

18 Se conoce como ‘phishing’ a la suplantación de identidad.
Pishing Se conoce como ‘phishing’ a la suplantación de identidad. PROPÓSITOS Apropiarse de datos confidenciales de los usuarios.

19

20 Ejemplo de un intento de phishing, haciéndose pasar por un oficial, trata de engañar a los miembros del banco para que den información acerca de su cuenta con un enlace a la página del phisher.

21 Procedimientos para protegerse del "phishing“:
Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. Asegúrese de que el sitio Web utiliza cifrado. Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.

22 Procedimientos para protegerse del "phishing“:
Nunca responda a solicitudes de información personal a través de correo electrónico. Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. Asegúrese de que el sitio Web utiliza cifrado.

23 Casos Reales

24 Casos Reales

25 Instituto De Educación Superior Tecnológico “Huaycán”
Gestión de la Seguridad Seguridad Informática Mag. Yovana Roca Avila

26 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

27 SGSI (El Sistema de Gestión de Seguridad de la Información)
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI (El Sistema de Gestión de Seguridad de la Información) La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Seguridad de la información:

28 (International Organization for Standardization)
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué es ISO? (International Organization for Standardization) ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y expertos que colaboran en el desarrollo de normas.

29 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
ISO 27000 ISO 27003 Normas relacionadas con sistemas de gestión de seguridad de la información. Guía de implantación de un SGSI. ISO 27005 ISO 27004 métricas y técnicas de medida de la efectividad de un SGSI Guía para la gestión del riesgo de seguridad de la información ISO 27006 (proceso de acreditación de entidades de certificación y el registro de SGSIs).

30 ¿Qué es la norma ISO 27001? Proporciona un modelo para establecer,
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué es la norma ISO 27001? Proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

31 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Ciclo de Deming) Se basa en un ciclo de vida PDCA de mejora continua. Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO

32 Riesgo

33 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
¿Qué aporta la ISO a la seguridad de la información de una empresa? Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua.

34 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
¿Qué aporta la ISO a la seguridad de la información de una empresa? Ayuda a la empresa a Gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, etc.

35 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

36 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Quiero implantar ISO 27001, ¿por dónde empiezo? Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO Curso de información ((de introducción a la norma, a su implantación y su auditoría). ) Recopilar información WWW. servicios de una empresa consultora Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas para pedir formalmente la visita de auditoría Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc. Concienciar a todo el personal.

37 Mag. Yovana Connie Roca Avila
Instituto de Educación Superior Tecnológico “Huaycán” Software empleados en la actualidad para la seguridad informática. Políticas de seguridad. Seguridad Informática Mag. Yovana Connie Roca Avila

38 Reconocer software actuales de seguridad.
Definir las políticas y normas de seguridad. Elaborar políticas de seguridad para la conservación y preservación de la información

39 Software empleados en la actualidad para la seguridad informática
Sistema de Protección contra Malware, el Small Office Security, que ofrece protección óptima y control central para PCs y servidores. Administración del uso de la Internet por los empleados Proteger a las empresas contra el software malicioso y, al mismo tiempo, aumenta la productividad de los empleados Limitar el uso de redes sociales a ciertas horas del día

40 Software empleados en la actualidad para la seguridad informática
Detección y prevención de intrusiones para aplicaciones web,“firewall web”.

41 Software empleados en la actualidad para la seguridad informática
Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc.(Tiempo real). Seguridad integral de redes ofrece protección a la velocidad de su negocio. Integran firewall, antivirus, antiphishing, antispam, filtrado de contenidos y calidad de servicio (QoS). También plantea soluciones de protección completa para correo electrónico, acceso remoto seguro a recursos de la red y control remoto de los equipos.

42 Políticas y Normas de Seguridad
Política: Son instrucciones mandatarias que indican la intención de la alta gerencia respecto a la operación de la organización. Puede prohibir o permitir acceder (información - áreas) Están en base a un análisis de riesgo al que esta expuesto la empresa o el sistema, basándose en lo siguiente ¿Qué proteger? ¿Cómo proteger? ¿De qué o quién proteger?

43 Etapas de las Políticas
Fase de desarrollo Fase de implementación Fase de mantenimiento Fase de eliminación: política es creada, revisada y aprobada se retira cuando no se requiera más comunicada y acatada actualizarla

44 Se tienen en cuenta … Física La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos. Lógica

45 normas de seguridad Políticas de seguridad Previa aprobación
Entidades correspondientes además competentes al área jurídica, aplicándolo y haciendo cumplir dichas políticas. Documentación

46 normas de seguridad Permite la dirección eficaz del sistema de seguridad Facilitan la rápida formación y concientización del personal Impiden que existan vacíos acerca de la seguridad Facilitar la comunicación y la seguridad, aumentan el sentido de seguridad en el usuario Permiten un manejo excelente de las instalaciones y equipos Homogenizan medios y procedimientos

47 gUÍA Es una declaración general deben utilizada
Recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Considerarse al implementar la seguridad.

48 MEDIDAS TÉCNICAS Características de los productos
referentes Características de los productos Consistentes en la imposición de requisitos relativos a las formalidades administrativas La seguridad o las dimensiones La calidad Requisitos de embalaje, marcado y el etiquetado de los productos La terminología Los símbolos

49 Procedimientos Delinear los pasos que deben ser seguidos por una dependencia. Son desarrollados, implementados y supervisados. Los procedimientos por el dueño del proceso seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican.

50 La implantación de seguridad de sistemas incluyen
Políticas + Procedimientos Medidas técnicas

51 .. Y su aplicación correcta permite:
Proteger los activos de la entidad, incluyendo los secretos comerciales. Mantener una posición e imagen competitiva.

52 .. entonces Seguridad Inversión Auditoria