La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORIA INFORMATICA

Publicada porCarmelo Jiménez Aranda Modificado hace 8 años

Presentaciones similares

Presentación del tema: "AUDITORIA INFORMATICA"— Transcripción de la presentación:

1 AUDITORIA INFORMATICA
Amenazas Vulnerabilidades Riesgos

2 GESTION DE RIESGOS EN INFORMATICA
En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Riesgos Que Atentan contra La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD

3 QUE ES UNA VULNERABILIDAD?
GESTION DE RIESGOS QUE ES UNA VULNERABILIDAD? Debilidades Fallas Presentes en los sistemas informáticos

4 Algunas vulnerabilidades en informática.
Mala ubicación del centro de computo. Software mal configurado.

5 Algunas vulnerabilidades en informática.
Software desactualizado. Falta de Hardware o hardware obsoleto.

6 Algunas vulnerabilidades en informática.
Ausencia de copias de seguridad o copias de seguridad incompletas. Ausencia de seguridad en archivos digitales o archivos físicos confidenciales.

7 Algunas vulnerabilidades en informática.
Cuentas de usuario mal configuradas. Desconocimiento y/o falta de socialización de normas o políticas a los usuarios por los responsables de informática.

8 Algunas vulnerabilidades en informática.
Dependencia exclusiva de un proveedor de servicio técnico externo. Ausencia de documentación de la operación de las aplicaciones.

9 Pantalla en un sistema de información sin bloqueo por el usuario o sin protector de pantalla.
Centro de computo sin UPS

10 A los sistemas informáticos
GESTION DE RIESGOS QUE SON LAS AMENAZAS? Acciones con consecuencias negativas Acciones dañinas A los sistemas informáticos

11 Algunas Amenazas en informática
Se puede Contraer virus. Se pueden Dañar equipos de computo Se puede acceder sin autorización a los sistemas de información. Se pueden presentar inundaciones. Se pueden presentar interrupciones en el servicio. Pueden Fallar los equipos de computo. Se pueden presentar desastres naturales. Se puede parar la empresa

12 riesgos Probabilidad de que
Una amenaza se materialice utilizando una vulnerabilidad, generando un impacto con perdidas o daños.

13 RIESGOS Algunos ejemplos de riesgos. Perdida de datos
Información errónea Daños en hardware Perdidas económicas Perdida de credibilidad. Caída de la Red. Servidor fuera de servicio

14 Riesgos Destrucción de información confidencial. Fuga de información.
Falta de disponibilidad de aplicaciones criticas. Incendios en el centro de computo. Perdida de integridad de los datos.

15 PROBABILIDAD Probabilidad: de ocurrencia de la amenaza, puede ser cualitativa o cuantitativa

16 impacto Impacto: consecuencias de la ocurrencia de la amenaza, pueden ser Económicas, no Económicas

17 Medio Riesgo = 8 – 9 (amarillo) Alto Riesgo = 12 – 16 (rojo)
Valoración del riesgo Proceso mediante el cual se establece la probabilidad de que ocurran daños o pérdidas materiales y la cuantificación de los mismos. La valoración del riesgo, es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres rangos. Bajo Riesgo = 1 – 6 (Verde) Medio Riesgo = 8 – 9 (amarillo) Alto Riesgo = 12 – 16 (rojo)

18 Matriz valoración del RIESGOS (Amenaza vs impacto)

19 GESTION DE RIESGOS Los objetivos de la gestión de riesgos son:
Identificar Controlar Reducir o eliminar las fuentes de riesgo antes de que empiecen a afectar al cumplimiento de los objetivos. (contramedidas)

20 Administración de Riesgos
No existe una practica para reducir el riesgo a cero (0), solo la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el CONTROL interno.

21 Medidas ante la presencia de riesgos
Son los medios utilizados para eliminar o reducir un riesgo. Se clasifican en: MEDIDAS DE SEGURIDAD ACTIVA. MEDIDAS DE SEGURIDAD PASIVA Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente) Medidas Detectivas (durante el incidente)

22 Medidas ante la presencia de riesgos
medidas preventivas: La autenticación de usuarios (contraseñas) El control de acceso a los datos (permisos o privilegios) La encriptación de datos sensibles o confidenciales. La instalación y correcta configuración de un buen antivirus. La socialización a los usuarios de normas y politicas en informatica.

23 Medidas ante la presencia de riesgos
La actualización del software (sistemas operativos, aplicaciones, programas) La instalación de hardware redundante en los servidores (discos espejos, fuentes de energía, tarjetas de red. La instalación de una UPS. La validación de los datos. La implementación de sistemas de acceso al CPD.

24 Medidas ante la presencia de riesgos
Medidas Detectivas: Sistemas de detección de intrusos Procedimientos para análisis de los log Antivirus Antispyware. Firewalls o cortafuegos

25 Medidas ante la presencia de riesgos
MEDIDAS DE SEGURIDAD PASIVAS. Son medidas utilizadas para minimizar el impacto causado cuando se presenta el incidente. También se conocen como medidas correctivas. (se aplican después de ocurrido el incidente). La recuperación de datos usando una copia de seguridad. Ejecución de un plan de contingencias.

26 CICLO Administración de RiesgoS La administración de Riesgos Empresariales requiere:
IDENTIFICAR VAR PONDERAR CADA RIESGO EVALUAR EFECTIVIDA CONTROLES TOMAR DECISION RIESGO RESIDUAL PROBABILIDADE OCURRENCIA DEFINIR IMPACTO 2a 1 2 2b 3 4

27 Riesgo residual Es un suceso o circunstancia indeterminada que permanece después de haber ejecutado todos los controles a los riesgos

28 Administración del Riesgo

29 Decisión del riesgo residual
• T erminar • R educir • A ceptar • P asar

30 Decisión del Riesgo Residual
• Terminar: abandonar la actividad por excesivamente riesgosa • Reducir: fortalecer controles o implementar nuevos controles • Aceptar: tomar el riesgo • Pasar: contratar, por ejemplo, una póliza de seguro (ejemplo póliza de seguros para amparar ataques cibernéticos)

31 SEGURIDAD FISICA EN INFORMATICA

32 En que Consiste…. La Seguridad Física consiste en la protección del entorno Informático (hardware y edificios de computo) mediante la aplicación de barreras físicas y procedimientos de control, ante posibles amenazas físicas

33 VULNERABILIDADES FISICAS
Es la situación creada por controles mal diseñados o por la falta de uno o varios controles y que pueden crear una amenaza que pueden afectar al entorno informático. Ejemplos: falta de controles de acceso lógico, falta de controles electricos, inexistencia de un control de soportes magnéticos, falta de cifrado en las comunicaciones, etc

34 AMENAZAS PARA LA SEG FISICA
Personas o elementos vistos como posible fuente de peligro o catástrofe. Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza los recursos informáticos de la empresa.

35 Amenazas Físicas Ejemplo de amenazas físicas inundaciones incendios
Terremotos Fugas de agua

36 Amenazas por Personas Sabotaje internos o externos (conductas dirigidas a causar daños al hardware o software: accesos no autorizados, daño o modificacion sin autorizacion al software, Negligencia en aplicación de políticas de seguridad Errores involuntarios o voluntarios en el uso de la tecnología informática. Ingeniería Social

37 RIESGO RIESGO: la probabilidad de que una amenaza llegue a suceder debido a una vulnerabilidad con consecuencias negativas.

38 CONTROLES PARA SEG FISICA
Instalación de Alarmas. Extintores manuales de incendios. Sensores de temperatura. Detectores de humo. Ubicación estratégica del centro de cómputos. Paredes, pisos y cielorrasos a prueba de incendios Protectores de voltaje Interruptor de energía de emergencia No comer, beber, fumar dentro del centro de cómputos Humedad y Temperaturas adecuadas Planes documentados y probados de evacuación de emergencia. Adquisición de UPS.

39 Controles de Acceso Físico
Cerraduras con combinación. Cerraduras electrónicas: utiliza llave, ficha o tarjeta magnética. Cerraduras biométricas. Bitácora o registro manual: libro de visitantes que incluya nombre, motivo de la visita, fecha, hora y firma Cámara de video. Guardias de Seguridad Acceso controlado de visitantes: ej. acompañados siempre de un empleado responsable. Sistema de alarma. 2 puertas de acceso ubicadas en sentidos contrarios

40 Seguridad Logica

41 En que Consiste La seguridad lógica, se refiere a la protección del uso del software (datos, programas y aplicaciones), con el fin de mantener la integridad, la confidencialidad y la disponibilidad de la información.

42 OBJETIVOS Preservar los Activos de Información de la empresa para que sean siempre utilizados de forma autorizada. Evitar acciones que puedan provocar su alteración, denegación, borrado o divulgación no autorizados, de forma accidental o intencionada

43 Seguridad Lógica La seguridad lógica abarca las siguientes áreas:
Aplicaciones Informáticas. Claves de acceso. Software de control de acceso. Encriptamiento.

44 AUTENTICACIÓN DE USUARIOS
Objetivo Asegurar que un usuario es quien dice ser, cuando accede al Sistema. En general, el proceso de autenticación de un usuario está basado en: algo que sabe (contraseña); algo que tiene (tarjeta, dispositivo, etc.); algo que es (características biométricas). La utilización de sólo uno de los métodos anteriores se denomina Autenticación Simple.

45 Caracteristicas de las Contraseñas
Para la protección de los Activos de Información de la empresa y la protección del propio usuario, la contraseña: Tiene que ser secreta y no compartida con nadie, No puede ser visualizada en pantalla mientras se teclea, No puede ser almacenada en claro (sin cifrar).

46 Caracteristicas de las contraseñas
tener una longitud mínima de 6 caracteres; o tener al menos un carácter numérico y uno alfabético; no empezar ni terminar con un número; no tener mas de dos caracteres iguales consecutivos. ser cambiada, al menos, cada 60 días para usuarios generales y cada 30 días para usuarios que tengan algún tipo de privilegio o autoridad. Tiene que haber instalado un control que informe a los usuarios cuando su contraseña tiene que ser cambiada;

47 Caracteristicas de las contraseñas
No debe ser reutilizada hasta después de, al menos, 12 cambios; no contener el identificador de usuario, como parte de la contraseña.

Descargar ppt "AUDITORIA INFORMATICA"

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
La Protección de Datos La Seguridad de los Datos en el Trabajo.

La Protección de Datos La Seguridad de los Datos en el Trabajo.
Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
RIESGOS Y CONTROLES Definiciones Tipos de Riesgos Tipos de Control.

RIESGOS Y CONTROLES Definiciones Tipos de Riesgos Tipos de Control.
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos

ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos
R EVISIÓN DE S EGURIDAD Auditoria de sistemas. C ONCEPTUALIZACIÓN El objetivo de esta revisión es analizar y evaluar los controles diseñados para salvaguardar.

R EVISIÓN DE S EGURIDAD Auditoria de sistemas. C ONCEPTUALIZACIÓN El objetivo de esta revisión es analizar y evaluar los controles diseñados para salvaguardar.
Javier Rodriguez Granados

Javier Rodriguez Granados
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.

DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Seguridad de los sistemas informáticos

Seguridad de los sistemas informáticos
Auditoria Informática Unidad II

Auditoria Informática Unidad II
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Presentaciones similares

Anuncios Google