SlideShare una empresa de Scribd logo

Segunf ud1 2

Descargar como ODP, PDF
M
macase
1 de 28
Seguridad informática Unidad 1 Introducción a la seguridad informática
Unidad 1. Introducción a la seguridad informática 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
3. Analisis de riesgos Tener en cuenta todos los elementos que lo componen. Analizar el nivel de vulnerabilidad de cada uno ante determinadas amenazas. Valorar el impacto que causaria un ataque sobre todo el sistema Los elementos de estudio son: ● Activos ● Amenazas ● Riesgos ● Vulnerbilidades ● Ataques ● Impactos
3. Analisis de riesgos. Elementos. Activos Recursos que pertenecen al propio sistema de informacion que facilita el funcionamiento de la empresa y la consecucion de objetivos. Hay que tener en cuenta la relacion que guardan entre ellos y la influencia que se ejercen. Se pueden clasificar en: ● Datos ● Software ● Hardware ● Redes ● Soportes ● Instalaciones ● Personal ● Servicios
3. Analisis de riesgos. Elementos. Amenazas Presencia de uno o mas factores de diversa indole que atacarian al sistema produciendole daños aprovechandose de su nivel de vulnerabilidad. Son diferentes tipos de amenazas: los cortes electricos, fallos hardware, riesgos ambientales, errores intencionados o no de usuarios, entrada de software malicioso, y el robo, destrucción o modificación de la informacion. Se clasifican en cuatro grupos, en funcion del tipo de alteracion: ● De interrupcion ● De interceptacion ● De modificacion ● De fabricacion Según su origen se clasifican en accidentales e iintencionadas
3. Analisis de riesgos. Elementos. Riesgos Posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad. Ante un riesgo una organización puede optar por tres alternativas: ● Asumirlo sin hacer nada ● Aplicar medidas para disminuirlo o anularlo ● Transferirlo Vulnerabilidades Probabilidades que existen de que una amenaza se materialice contra un activo. No todos los activos son vulnerables a las mismas amenazas. Datos – accion hackers, instalacion electrica – cortocircuito, etc.
3. Analisis de riesgos. Elementos. Ataques Se ha producido un ataque accidental o deliberado contra el sistema cuando se ha materializado una amenaza. En función del impacto causado a los activos atacados, los ataques se clasifican en: ● Activos (dañan, bloquean, saturan) ● Pasivos (solo acceden sin autorizacion) Un ataque puede se directo o indirecto. Impactos Es el daño causado. Son la consecuencia de la materializacion de una o mas amenazas, sobre uno o varios activos aprovechando la vulnerabilidad del sistema.
3. Analisis de riesgos. Proceso. Para implantar una politica de seguridad es necesario seguir un esquema logico: ● Hacer inventario y valoracion de los activos. ● Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos ● Identificar y evaluar las medidas de seguridad existentes ● Identificar y valorar vulnerabilidades de los activos a las amenazas que les afectan ● Identificar los objetivos de seguridad de la organización ● Determinar sistemas de medicion de riesgos ● Determinar el impacto que produciria un ataque ● Identificar y seleccionar las medidas de proteccion
3. Analisis de riesgos Actividad 3 libro (pagina 15) 1) La ventana de un centro de calculo en donde se encuentra la mayor parte de los ordenadores y el servidor de una organización se quedo mal cerrada. Durante una noche de tormenta, la ventana abierta ¿constituye un riesgo, una amenaza o una vulnerabilidad? Razona tu respuesta. 2) Pon un ejemplo de como un sistema de información podría ser seriamente dañado por la presencia de un factor que se considera de poca relevancia y que explique de alguna manera que “la cadena siempre se rompe por el eslabón mas débil”. 3) ¿Que elementos se estudian para hacer un análisis de riesgos? 4) Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuales de estas propiedades se verían afectadas por: • una amenaza de interrupción • una amenaza de interceptación • una amenaza de modificación • una amenaza de fabricación
4. Control de riesgos. Es posterior a realizar el análisis de riesgos. Consiste en determinar los servicios necesarios para conseguir un sistema de información seguro. Para poder dar estos servicios sera necesario dotar al sistema de los mecanismos correspondientes. Servicios de seguridad ✗ Integridad ✗ Confidencialidad ✗ Autenticación (o identificacion) ✗ No repudio (irrenunciabilidad) ✗ Control de acceso
4. Control de riesgos. Mecanismos de seguridad ✗ Preventivos ✗ Detectores ✗ Correctores Cada mecanismos ofrece al sistema uno o mas servicios de los especificados antes. La elección de mecanismos depende de cada sistema de información, de su función, las posibilidades económicas de la organización y los riesgos a los que este expuesto el sistema.
4. Control de riesgos. Mecanismos de seguridad. Seguridad lógica. Objetivo: proteger digitalmente la información de manera directa. ● Control de acceso ● Cifrados de datos ● Antivirus ● Cortafuegos ● Firma digital ● Certificados digitales Las redes inalámbricas necesitan precauciones adicionales para su protección: SSID, protección mediante claves encriptadas WEP o WPA, filtrado de direcciones MAC.
4. Control de riesgos. Mecanismos de seguridad. Seguridad física Objetivo: proteger al sistema de peligros físicos y lógicos ● Respaldo de datos ● Dispositivos físicos Actividad 5 1.Actividad 15 p18 2.Actividad 16 p18 3.Actividad 19 p18
4. Control de riesgos. Mecanismos de seguridad. Actividad 6 Aprender visualizando un VÍDEO (parte2) http://www.youtube.com/watch?feature=player_embedded&v=9FB5zuPWW6k (35 minutos) Entra en la URL de descarga del software (ver parte1 de esta actividad). Completa la información de la siguiente tabla. Busca un anti-rootkit, añade sus características a la tabla anterior. A continuación descarga todo el software de protección que aparece en la tabla anterior al escritorio de tu PC. Haz una captura de pantalla que visualice todos los archivos descargados, e insertala aquí.
4. Control de riesgos. Enfoque global de la seguridad. La información es el núcleo de todo el sistema de información Para proteger sus propiedades de integridad, disponibilidad y confidencialidad es necesario tener en cuenta a los niveles que la rodean para dotarlos de mecanismos y servicios de seguridad. Niveles desde el exterior hasta la información: ● Ubicación física ● Hardware y componentes de red ● Sistema operativo y software ● Información La conexión de Internet atraviesa los distintos niveles hasta llegar a la información. El personal empresa puede actuar en todos los niveles o parte de ellos.
4. Control de riesgos. Mecanismos de seguridad. Actividad 7 Utilizar un FORO http://www.trucoswindows.net/forowindows/seguridad-informatica/ ¿Cual es el mejor antyspyware gratuito? ¿Que es el adware? ¿Que es el spyware? Cual de estos son antispyware: pest patrol spy sweeper spybot search microsoft spyware panda spyware Haz un listado de antivirus online. Haz un resumen de tipos de malware. Busca y anota la url de cuatro foros mas sobre seguridad informática.
5. Herramientas de análisis y gestión de riesgos. Política de seguridad. ● Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información ● Forma parte de su política general, ha de ser aprobada por la dirección ● El objetivo principal es concienciar a todo el personal de una organización con el sistema de información, en la necesidad de conocer que principios rigen la seguridad de la entidad y cuales son las normas para conseguir los objetivos de seguridad planificados ● Deberá redactarse de forma que sea comprendida por todo el personal de la empresa ● No todas las políticas de seguridad son iguales ● Existen algunos estándares por países y por áreas, los más internacionales son los definidos por la ISO
5. Herramientas de análisis y gestión de riesgos. Política de seguridad. Contendrá los objetivos de seguridad de la empresa englobados en: ● Identificar necesidades, riesgos y evaluar impactos ante un ataque ● Relación de medidas de seguridad para afrontar riesgos de cada activo ● Proporcionar reglas y procedimientos para afrontar los riesgos ● Detectar vulnerabilidades y controlar fallos que se producen en los activos ● Definir un plan de contingencia
5. Herramientas de análisis y gestión de riesgos. Plan de contingencia. Es un instrumento de gestión que contiene las medidas que garanticen la continuidad del negocio protegiendo al sistema de información de los peligros que lo amenazan o recuperándolo tras un impacto. Consta de tres subplanes independientes: ● Plan de respaldo ● Plan de emergencia ● Plan de recuperación Su elaboración no puede descuidar al personal de la organización, que sera informado y entrenado para actuar como le haya sido encomendado.
4. Control de riesgos. Mecanismos de seguridad. Actividad 8 libro pag. 23 (28, 30, 31) ¿Cual es la orientación principal de un plan de contingencias? ¿En que se basa la recuperación de la información? Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea seguida por todos los trabajadores de la empresa. ¿Que debera contemplar?
5. Herramientas de análisis y gestión de riesgos. Auditoria. Es un análisis pormenorizado de un sistema de información que permite descubrir, identificar y corregir vulnerabilidades en los activos y en los procesos que se realizan. Su finalidad verificar que se cumplen los objetivos de la política de seguridad. Proporciona una imagen real y actual del estado de seguridad de un sistema de información. Puede ser total o parcial. Puede realizarse por personal de la propia empresa o por una empresa externa especializada.
5. Herramientas de análisis y gestión de riesgos. Auditoria. Tras el análisis y la identificación de vulnerabilidades, se emite un informe que contiene: ● Activos y procesos analizados (descripción y características) ● Relaciones y dependencias entre activos ● Relación y evaluación vulnerabilidades detectadas ● Verificación cumplimiento normativa ● Propuesta de medidas preventivas y de corrección Para evaluar la seguridad se necesitan herramientas: ● Manuales ● Software CAAT
5. Herramientas de análisis y gestión de riesgos. Modelos de seguridad. Es la expresión formal de una política de seguridad. Se utiliza como directriz para evaluar sistemas de información Según las funciones u operaciones sobre las que ejerce mayor control se pueden clasificar en: ● Matriz de acceso (según el sujeto) ● Acceso basado en funciones de control (según la función que tiene el sujeto) ● Multinivel (según la jerarquización de los datos)
4. Control de riesgos. Mecanismos de seguridad. Actividad 9 libro pag. 23 - 24 (32, 33, 34, 35, 36) Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado? ¿Una misma política de seguridad puede servir a todo tipo de empresas? ¿De que modo debe ser redactada la política de seguridad de una organización? Define con tus propias palabras que es un plan de contingencias.
4. Control de riesgos. Mecanismos de seguridad. Actividad 10 libro pag. 22 - 24 (24, 37, 38, 39) Investiga que es un test de intrusión. Investiga en Internet sobre empresas especializadas en auditorias de sistemas de información (Hispasec, Audisis). Escoge una de estas empresas y contesta: ¿en que fases realiza la auditoria? ¿que tipos de auditoria realiza? ¿ofrece revisiones periódicas del sistema? Investiga en internet para encontrar el software de auditoria: CaseWare, Wizsoft, Ecora, ACL, AUDAP. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabo la auditoria. Averigua que información tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribe la definición que hace del modelo.
4. Control de riesgos. Mecanismos de seguridad. Actividad 9 libro pag. 23 - 24 (32, 33, 34, 35, 36) Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado? ¿Una misma política de seguridad puede servir a todo tipo de empresas? ¿De que modo debe ser redactada la política de seguridad de una organización? Define con tus propias palabras que es un plan de contingencias.
4. Control de riesgos. Mecanismos de seguridad. Actividad 9 libro pag. 23 - 24 (32, 33, 34, 35, 36) Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado? ¿Una misma política de seguridad puede servir a todo tipo de empresas? ¿De que modo debe ser redactada la política de seguridad de una organización? Define con tus propias palabras que es un plan de contingencias.
Unidad 1. Introducción a la seguridad informática En esta unidad has aprendido a: ● Distinguir entre sistema de información y sistema informático ● Comprender que significa seguridad en el concepto amplio y en el concreto. ● Conocer las propiedades de un sistema seguro ● Entender los conceptos de activo, amenaza, riesgo, vulnerabilidad, ataque e impacto. ● Entender lo que son servicios, mecanismos y herramientas de seguridad ● Tener la base necesaria para afrontar el conocimiento de la seguridad en sistemas informáticos

Recomendados

Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Unidad i introduccion a la seguridad informatica
Unidad i introduccion a la seguridad informaticaUnidad i introduccion a la seguridad informatica
Unidad i introduccion a la seguridad informaticagrupodar857
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Aspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaAspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaDigetech.net
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1Naturales32
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 

Recomendados

Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Unidad i introduccion a la seguridad informatica
Unidad i introduccion a la seguridad informaticaUnidad i introduccion a la seguridad informatica
Unidad i introduccion a la seguridad informaticagrupodar857
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Aspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaAspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaDigetech.net
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1Naturales32
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaErnesto Herrera
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicosVíctor Fernández López
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia InformaticaFernando Alfonso Casas De la Torre
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaUniversidad José María Vargas
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticacarmenrico14
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clCristian Sepulveda
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad InformaticaHarol Ivanov
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaSara Sigüeñas Chacón
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
Jose muñoz
Jose muñozJose muñoz
Jose muñozAngelica Daza
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetlesweid2404
 
Seguridad
Seguridad Seguridad
Seguridad Lisbey Urrea
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOscar Garces Torres
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castilloNevi Castillo
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosSen Alonzo
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docxRubenDarioVillarAqui
 
Cyber seguridad
Cyber seguridadCyber seguridad
Cyber seguridadismeida1710
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptxJhon887166
 

Más contenido relacionado

La actualidad más candente

Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticacarmenrico14
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clCristian Sepulveda
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad InformaticaHarol Ivanov
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetlesweid2404
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castilloNevi Castillo
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosSen Alonzo
 

La actualidad más candente (17)

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicos
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informatica
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informática
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad Informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigencia
 
Jose muñoz
Jose muñozJose muñoz
Jose muñoz
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Seguridad
Seguridad Seguridad
Seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castillo
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
 

Similar a Segunf ud1 2

ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptxJhon887166
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
Presentacion2
Presentacion2Presentacion2
Presentacion2AGCR22
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
Seguridad informatica mario roman
Seguridad informatica mario romanSeguridad informatica mario roman
Seguridad informatica mario romanmariosk8love
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosariocromerovarg
 

Similar a Segunf ud1 2 (20)

Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
 
Cyber seguridad
Cyber seguridadCyber seguridad
Cyber seguridad
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
Magerit
MageritMagerit
Magerit
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad inf
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigencia
 
Seguridad informatica mario roman
Seguridad informatica mario romanSeguridad informatica mario roman
Seguridad informatica mario roman
 
Impacto computadoras web
Impacto computadoras webImpacto computadoras web
Impacto computadoras web
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
 

Segunf ud1 2

  • 1. Seguridad informática Unidad 1 Introducción a la seguridad informática
  • 2. Unidad 1. Introducción a la seguridad informática 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
  • 3. 3. Analisis de riesgos Tener en cuenta todos los elementos que lo componen. Analizar el nivel de vulnerabilidad de cada uno ante determinadas amenazas. Valorar el impacto que causaria un ataque sobre todo el sistema Los elementos de estudio son: ● Activos ● Amenazas ● Riesgos ● Vulnerbilidades ● Ataques ● Impactos
  • 4. 3. Analisis de riesgos. Elementos. Activos Recursos que pertenecen al propio sistema de informacion que facilita el funcionamiento de la empresa y la consecucion de objetivos. Hay que tener en cuenta la relacion que guardan entre ellos y la influencia que se ejercen. Se pueden clasificar en: ● Datos ● Software ● Hardware ● Redes ● Soportes ● Instalaciones ● Personal ● Servicios
  • 5. 3. Analisis de riesgos. Elementos. Amenazas Presencia de uno o mas factores de diversa indole que atacarian al sistema produciendole daños aprovechandose de su nivel de vulnerabilidad. Son diferentes tipos de amenazas: los cortes electricos, fallos hardware, riesgos ambientales, errores intencionados o no de usuarios, entrada de software malicioso, y el robo, destrucción o modificación de la informacion. Se clasifican en cuatro grupos, en funcion del tipo de alteracion: ● De interrupcion ● De interceptacion ● De modificacion ● De fabricacion Según su origen se clasifican en accidentales e iintencionadas
  • 6. 3. Analisis de riesgos. Elementos. Riesgos Posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad. Ante un riesgo una organización puede optar por tres alternativas: ● Asumirlo sin hacer nada ● Aplicar medidas para disminuirlo o anularlo ● Transferirlo Vulnerabilidades Probabilidades que existen de que una amenaza se materialice contra un activo. No todos los activos son vulnerables a las mismas amenazas. Datos – accion hackers, instalacion electrica – cortocircuito, etc.
  • 7. 3. Analisis de riesgos. Elementos. Ataques Se ha producido un ataque accidental o deliberado contra el sistema cuando se ha materializado una amenaza. En función del impacto causado a los activos atacados, los ataques se clasifican en: ● Activos (dañan, bloquean, saturan) ● Pasivos (solo acceden sin autorizacion) Un ataque puede se directo o indirecto. Impactos Es el daño causado. Son la consecuencia de la materializacion de una o mas amenazas, sobre uno o varios activos aprovechando la vulnerabilidad del sistema.
  • 8. 3. Analisis de riesgos. Proceso. Para implantar una politica de seguridad es necesario seguir un esquema logico: ● Hacer inventario y valoracion de los activos. ● Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos ● Identificar y evaluar las medidas de seguridad existentes ● Identificar y valorar vulnerabilidades de los activos a las amenazas que les afectan ● Identificar los objetivos de seguridad de la organización ● Determinar sistemas de medicion de riesgos ● Determinar el impacto que produciria un ataque ● Identificar y seleccionar las medidas de proteccion
  • 9. 3. Analisis de riesgos Actividad 3 libro (pagina 15) 1) La ventana de un centro de calculo en donde se encuentra la mayor parte de los ordenadores y el servidor de una organización se quedo mal cerrada. Durante una noche de tormenta, la ventana abierta ¿constituye un riesgo, una amenaza o una vulnerabilidad? Razona tu respuesta. 2) Pon un ejemplo de como un sistema de información podría ser seriamente dañado por la presencia de un factor que se considera de poca relevancia y que explique de alguna manera que “la cadena siempre se rompe por el eslabón mas débil”. 3) ¿Que elementos se estudian para hacer un análisis de riesgos? 4) Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuales de estas propiedades se verían afectadas por: • una amenaza de interrupción • una amenaza de interceptación • una amenaza de modificación • una amenaza de fabricación
  • 10. 4. Control de riesgos. Es posterior a realizar el análisis de riesgos. Consiste en determinar los servicios necesarios para conseguir un sistema de información seguro. Para poder dar estos servicios sera necesario dotar al sistema de los mecanismos correspondientes. Servicios de seguridad ✗ Integridad ✗ Confidencialidad ✗ Autenticación (o identificacion) ✗ No repudio (irrenunciabilidad) ✗ Control de acceso
  • 11. 4. Control de riesgos. Mecanismos de seguridad ✗ Preventivos ✗ Detectores ✗ Correctores Cada mecanismos ofrece al sistema uno o mas servicios de los especificados antes. La elección de mecanismos depende de cada sistema de información, de su función, las posibilidades económicas de la organización y los riesgos a los que este expuesto el sistema.
  • 12. 4. Control de riesgos. Mecanismos de seguridad. Seguridad lógica. Objetivo: proteger digitalmente la información de manera directa. ● Control de acceso ● Cifrados de datos ● Antivirus ● Cortafuegos ● Firma digital ● Certificados digitales Las redes inalámbricas necesitan precauciones adicionales para su protección: SSID, protección mediante claves encriptadas WEP o WPA, filtrado de direcciones MAC.
  • 13. 4. Control de riesgos. Mecanismos de seguridad. Seguridad física Objetivo: proteger al sistema de peligros físicos y lógicos ● Respaldo de datos ● Dispositivos físicos Actividad 5 1.Actividad 15 p18 2.Actividad 16 p18 3.Actividad 19 p18
  • 14. 4. Control de riesgos. Mecanismos de seguridad. Actividad 6 Aprender visualizando un VÍDEO (parte2) http://www.youtube.com/watch?feature=player_embedded&v=9FB5zuPWW6k (35 minutos) Entra en la URL de descarga del software (ver parte1 de esta actividad). Completa la información de la siguiente tabla. Busca un anti-rootkit, añade sus características a la tabla anterior. A continuación descarga todo el software de protección que aparece en la tabla anterior al escritorio de tu PC. Haz una captura de pantalla que visualice todos los archivos descargados, e insertala aquí.
  • 15. 4. Control de riesgos. Enfoque global de la seguridad. La información es el núcleo de todo el sistema de información Para proteger sus propiedades de integridad, disponibilidad y confidencialidad es necesario tener en cuenta a los niveles que la rodean para dotarlos de mecanismos y servicios de seguridad. Niveles desde el exterior hasta la información: ● Ubicación física ● Hardware y componentes de red ● Sistema operativo y software ● Información La conexión de Internet atraviesa los distintos niveles hasta llegar a la información. El personal empresa puede actuar en todos los niveles o parte de ellos.
  • 16. 4. Control de riesgos. Mecanismos de seguridad. Actividad 7 Utilizar un FORO http://www.trucoswindows.net/forowindows/seguridad-informatica/ ¿Cual es el mejor antyspyware gratuito? ¿Que es el adware? ¿Que es el spyware? Cual de estos son antispyware: pest patrol spy sweeper spybot search microsoft spyware panda spyware Haz un listado de antivirus online. Haz un resumen de tipos de malware. Busca y anota la url de cuatro foros mas sobre seguridad informática.
  • 17. 5. Herramientas de análisis y gestión de riesgos. Política de seguridad. ● Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información ● Forma parte de su política general, ha de ser aprobada por la dirección ● El objetivo principal es concienciar a todo el personal de una organización con el sistema de información, en la necesidad de conocer que principios rigen la seguridad de la entidad y cuales son las normas para conseguir los objetivos de seguridad planificados ● Deberá redactarse de forma que sea comprendida por todo el personal de la empresa ● No todas las políticas de seguridad son iguales ● Existen algunos estándares por países y por áreas, los más internacionales son los definidos por la ISO
  • 18. 5. Herramientas de análisis y gestión de riesgos. Política de seguridad. Contendrá los objetivos de seguridad de la empresa englobados en: ● Identificar necesidades, riesgos y evaluar impactos ante un ataque ● Relación de medidas de seguridad para afrontar riesgos de cada activo ● Proporcionar reglas y procedimientos para afrontar los riesgos ● Detectar vulnerabilidades y controlar fallos que se producen en los activos ● Definir un plan de contingencia
  • 19. 5. Herramientas de análisis y gestión de riesgos. Plan de contingencia. Es un instrumento de gestión que contiene las medidas que garanticen la continuidad del negocio protegiendo al sistema de información de los peligros que lo amenazan o recuperándolo tras un impacto. Consta de tres subplanes independientes: ● Plan de respaldo ● Plan de emergencia ● Plan de recuperación Su elaboración no puede descuidar al personal de la organización, que sera informado y entrenado para actuar como le haya sido encomendado.
  • 20. 4. Control de riesgos. Mecanismos de seguridad. Actividad 8 libro pag. 23 (28, 30, 31) ¿Cual es la orientación principal de un plan de contingencias? ¿En que se basa la recuperación de la información? Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea seguida por todos los trabajadores de la empresa. ¿Que debera contemplar?
  • 21. 5. Herramientas de análisis y gestión de riesgos. Auditoria. Es un análisis pormenorizado de un sistema de información que permite descubrir, identificar y corregir vulnerabilidades en los activos y en los procesos que se realizan. Su finalidad verificar que se cumplen los objetivos de la política de seguridad. Proporciona una imagen real y actual del estado de seguridad de un sistema de información. Puede ser total o parcial. Puede realizarse por personal de la propia empresa o por una empresa externa especializada.
  • 22. 5. Herramientas de análisis y gestión de riesgos. Auditoria. Tras el análisis y la identificación de vulnerabilidades, se emite un informe que contiene: ● Activos y procesos analizados (descripción y características) ● Relaciones y dependencias entre activos ● Relación y evaluación vulnerabilidades detectadas ● Verificación cumplimiento normativa ● Propuesta de medidas preventivas y de corrección Para evaluar la seguridad se necesitan herramientas: ● Manuales ● Software CAAT
  • 23. 5. Herramientas de análisis y gestión de riesgos. Modelos de seguridad. Es la expresión formal de una política de seguridad. Se utiliza como directriz para evaluar sistemas de información Según las funciones u operaciones sobre las que ejerce mayor control se pueden clasificar en: ● Matriz de acceso (según el sujeto) ● Acceso basado en funciones de control (según la función que tiene el sujeto) ● Multinivel (según la jerarquización de los datos)
  • 24. 4. Control de riesgos. Mecanismos de seguridad. Actividad 9 libro pag. 23 - 24 (32, 33, 34, 35, 36) Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado? ¿Una misma política de seguridad puede servir a todo tipo de empresas? ¿De que modo debe ser redactada la política de seguridad de una organización? Define con tus propias palabras que es un plan de contingencias.
  • 25. 4. Control de riesgos. Mecanismos de seguridad. Actividad 10 libro pag. 22 - 24 (24, 37, 38, 39) Investiga que es un test de intrusión. Investiga en Internet sobre empresas especializadas en auditorias de sistemas de información (Hispasec, Audisis). Escoge una de estas empresas y contesta: ¿en que fases realiza la auditoria? ¿que tipos de auditoria realiza? ¿ofrece revisiones periódicas del sistema? Investiga en internet para encontrar el software de auditoria: CaseWare, Wizsoft, Ecora, ACL, AUDAP. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabo la auditoria. Averigua que información tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribe la definición que hace del modelo.
  • 26. 4. Control de riesgos. Mecanismos de seguridad. Actividad 9 libro pag. 23 - 24 (32, 33, 34, 35, 36) Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado? ¿Una misma política de seguridad puede servir a todo tipo de empresas? ¿De que modo debe ser redactada la política de seguridad de una organización? Define con tus propias palabras que es un plan de contingencias.
  • 27. 4. Control de riesgos. Mecanismos de seguridad. Actividad 9 libro pag. 23 - 24 (32, 33, 34, 35, 36) Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado? ¿Una misma política de seguridad puede servir a todo tipo de empresas? ¿De que modo debe ser redactada la política de seguridad de una organización? Define con tus propias palabras que es un plan de contingencias.
  • 28. Unidad 1. Introducción a la seguridad informática En esta unidad has aprendido a: ● Distinguir entre sistema de información y sistema informático ● Comprender que significa seguridad en el concepto amplio y en el concreto. ● Conocer las propiedades de un sistema seguro ● Entender los conceptos de activo, amenaza, riesgo, vulnerabilidad, ataque e impacto. ● Entender lo que son servicios, mecanismos y herramientas de seguridad ● Tener la base necesaria para afrontar el conocimiento de la seguridad en sistemas informáticos