SlideShare una empresa de Scribd logo

04 ai seguridad

Descargar como PPT, PDF
Miguel Angel Sandoval Calderon
Miguel Angel Sandoval Calderon

Este documento trata sobre conceptos generales de seguridad de TI. Explica la importancia de la auditoría de seguridad y la evaluación de riesgos. También describe los problemas más comunes de seguridad, las fases de una auditoría de seguridad, y cómo auditar la seguridad física, lógica, de comunicaciones y continuidad de operaciones. Además, cubre temas como seguridad de sistemas operativos, bases de datos, datos, redes y formas de protección.

Software
1 de 58
Conceptos Generales de laConceptos Generales de la SSeguridadeguridad de TIde TI
AUDITORIA DE LA SEGURIDADAUDITORIA DE LA SEGURIDAD  Para muchos la seguridad sigue siendo el área principal a auditar.  Puede haber seguridad sin auditoria, puede existir auditoria de otras áreas y queda un espacio de encuentro: la auditoria de la seguridad.
EVALUACION DE RIESGOSEVALUACION DE RIESGOS  Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que lo eliminen; lo que generalmente no es posible; o, que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.  Para evaluar riesgos hay que considerar, entre otros factores, el tipo de información almacenada, procesada y trasmitida, la criticidad de las aplicaciones, la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento.
Problemas de Red 24% Otros 23% Robo de Data 7% Sabotaje 5% Fallas de la 11% ,a la red Virus de Computadora 12% Error de 14% Problemas de Seguridad Relacionados con laProblemas de Seguridad Relacionados con la Pérdida FinancieraPérdida Financiera Ingresos 4% Computadora Software
FASES DE LA AUDITORIA DE SEGURIDADFASES DE LA AUDITORIA DE SEGURIDAD  Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad.  Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de especialistas necesarios, sobre todo en la auditoria externa.  Realización de entrevistas y pruebas  Análisis de resultado y valoración de riesgos.  Presentación y discusión del informe provisional.  Informe definitivo.
AUDITORIA DE SEGURIDAD FISICAAUDITORIA DE SEGURIDAD FISICA  Ubicación de los centros de procesos y de los servidores locales y en general cualquier elemento a proteger.  Estructura, diseño construcción y distribución de los edificios y de sus plantas.  Amenazas de fuego.  Controles preventivos.  Control de acceso, en determinados edificios.  Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y posible transporte.
AUDITORIA DE SEGURIDAD LOGICAAUDITORIA DE SEGURIDAD LOGICA  Es necesario verificar que cada usuario solo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado. Algunos aspectos a evaluar:  Quien asigna la contraseña: inicial y sucesivas.  Longitud mínima y composición de caracteres .  Vigencias  Numero de intentos  Protección o cambio de las contraseñas .
SEGURIDAD DE TISEGURIDAD DE TI Definición:Definición: Una política de seguridadde TI es una forma de comunicarseUna política de seguridadde TI es una forma de comunicarse con los usuarios, ya que la mism establece un canal formal decon los usuarios, ya que la mism establece un canal formal de actuación del personal, en relación con los recursos y serviciosactuación del personal, en relación con los recursos y servicios informáticos de la organización.informáticos de la organización.
Criterios de SEGURIDADCriterios de SEGURIDAD  La falta de accesibilidad produce una denegación deLa falta de accesibilidad produce una denegación de servicio, que es uno de los ataques más frecuentes enservicio, que es uno de los ataques más frecuentes en Internet.Internet.  CCualquier entidad que envía o recibe datos no puede alegarualquier entidad que envía o recibe datos no puede alegar oo desconocer el hecho.desconocer el hecho.  Los dos criterios anteriores son especialmente importantesLos dos criterios anteriores son especialmente importantes en el entorno bancario y de comercio electrónicoen el entorno bancario y de comercio electrónico.. Los usuarios deben saber que sus actividades quedanLos usuarios deben saber que sus actividades quedan registradas.registradas.
SEGURIDAD DE SISTEMASSEGURIDAD DE SISTEMAS OPERATIVOSOPERATIVOS Brevemente, algo de Windows NT o Windows 200XBrevemente, algo de Windows NT o Windows 200X ServerServer
AuditoriasAuditorias a)a) AAuditorias de cuentas de usuariosuditorias de cuentas de usuarios:: El Sistema de auditorias de Windows NT permite rastrear sucesos queEl Sistema de auditorias de Windows NT permite rastrear sucesos que ocurren en una máquina NT, servidor de dominio o estación o servidorocurren en una máquina NT, servidor de dominio o estación o servidor NT .NT . La política de auditorias se establece en cada máquina NT. Se puedenLa política de auditorias se establece en cada máquina NT. Se pueden realizarrealizar variosvarios tipos de auditorias en NT:tipos de auditorias en NT: Los eventos que se pueden auditar son:Los eventos que se pueden auditar son: ·· Logon y logoff en la redLogon y logoff en la red ·· Acceso a ficheros , directorios o impresorasAcceso a ficheros , directorios o impresoras ·· Ejercicio de los derechos de un usuarioEjercicio de los derechos de un usuario ·· Seguimiento de procesosSeguimiento de procesos ·· Arranque del sistema...Arranque del sistema...
b)b) AAuditorias del sistema de archivosuditorias del sistema de archivos:: LLos eventos que se pueden auditar son: lectura, escritura, ejecución,os eventos que se pueden auditar son: lectura, escritura, ejecución, eliminación, cambio de permisos y toma de posesión.eliminación, cambio de permisos y toma de posesión. Seguridad de Base de Datos.Seguridad de Base de Datos. El primer filtro de seguridad de la Base de Datos lo constituye,El primer filtro de seguridad de la Base de Datos lo constituye, evidentemente, el Sistema Operativo.evidentemente, el Sistema Operativo. Dada la complejidad de los problemas anteriores, es el propio SistemaDada la complejidad de los problemas anteriores, es el propio Sistema de Gestión de Bases de Datos (SGBD) el que proporciona lade Gestión de Bases de Datos (SGBD) el que proporciona la seguridad de éstas. Un SGBD debe mantener los tres criteriosseguridad de éstas. Un SGBD debe mantener los tres criterios básicos:básicos: –– Confidencialidad.Confidencialidad. –– Integridad.Integridad. –– Disponibilidad.Disponibilidad.
La seguridad en Bases de Datos se implementa medianteLa seguridad en Bases de Datos se implementa mediante mecanismos de:mecanismos de: –– Identificación y autentificación.Identificación y autentificación. –– Control de acceso a los objetos (datos y recursos).Control de acceso a los objetos (datos y recursos). –– Registro de auditoria.Registro de auditoria. –– Protección criptográfica de alguno de los datosProtección criptográfica de alguno de los datos..
Las posibles vulnerabilidades en la Bases de Datos son:Las posibles vulnerabilidades en la Bases de Datos son: –– Ataques Directos: revelación, alteración y destrucción de datos.Ataques Directos: revelación, alteración y destrucción de datos. •• La prevención frente a este tipo de ataques pasa por mecanismos deLa prevención frente a este tipo de ataques pasa por mecanismos de identificación, autentificación y control de accesoidentificación, autentificación y control de acceso..
–– Ataques Directos: Inferencias estadísticas.Ataques Directos: Inferencias estadísticas. •• Tratan de descubrir datos sensibles, y privados, en base a parámetrosTratan de descubrir datos sensibles, y privados, en base a parámetros estadísticos que son de acceso más libre (valores medios, desviaciones,estadísticos que son de acceso más libre (valores medios, desviaciones, máximos.máximos. –– Ataques indirectos: Caballo de Troya.Ataques indirectos: Caballo de Troya. •• Son programas hostiles que actúan solapándose bajo un programaSon programas hostiles que actúan solapándose bajo un programa normal. Cuando éste se procesa, el caballo de Troya ataca a la Base denormal. Cuando éste se procesa, el caballo de Troya ataca a la Base de Datos soslayando los mecanismos de protección.Datos soslayando los mecanismos de protección.
AUDITORIA DE LA SEGURIDAD DE LOSAUDITORIA DE LA SEGURIDAD DE LOS DATOSDATOS  Es necesario la designación de propietarios.  Clasificación de los datos.  Restricción de su uso para pruebas.  Aquellos soportes que tengan datos o información de los niveles más críticos estarán especialmente protegidos, incluso cifrados.  En el caso de transporte de datos clasificados, debe realizarse por canales seguros, y si es en soporte magnético o por transmisión deben ir cifrados.
TECNICAS PARA EL CONTROL DE BASE DE DATOS : * Matrices de control * Análisis de caminos de acceso
MATRIZ DE CONTROLMATRIZ DE CONTROL Sirve para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad de los mismos. DATOS CONTROLES DE SEGURIDAD PREVENTIVOS DETECTIVOS CORRECTIVOS TRANSACCIONES DEENTRADA VERIFICACION INFORMEDE RECONCILIACION REGISTROS DE BASEDEDATOS CIFRADO INFORMEDE EXCEPCION COPIA DE SEGURIDAD
ANALISIS DE LOS CAMINOS DE ACCESOANALISIS DE LOS CAMINOS DE ACCESO MONITOR DE TELEPROC ESO MONITOR DE TELEPROC ESO PAQUETE DE SEGURIDA D PAQUETE DE SEGURIDA D PROGRAM A PROGRAM A SGBDSGBD SOSO DATOSDATOS CONTROLE S DIVERSOS COPIAS DE SEGURIDAD FICHERO DIARIO INTEGRIDAD DE DATOS CONTROL DE ACCESO CONTROL DE INTEGRIDAD DE DATOS CONTROL ACCESO REGISTRO DE ACCESO INFORME DE EXCEPCIONES CONTROL ACCESO REGISTRO DE TRANSA TRANSACCIONES ORDENADOR PERSONAL USUARIO SEGURIDA DE CIFRADO FORMACION CONTROLES PROCEDIMIENTO CONTROL ACCESO CIFRADO CONTROL INTEGRIDAD ORDENADOR CENTRAL
Formas de ProtecciónFormas de Protección:: El firewall mantiene separada su red interna (de la cual usted tiene control)El firewall mantiene separada su red interna (de la cual usted tiene control) de diferentes tipos de redes externas (de las cual usted NO tiene control).de diferentes tipos de redes externas (de las cual usted NO tiene control). El firewall controla la entrada y salida de trafico protegiendo su red deEl firewall controla la entrada y salida de trafico protegiendo su red de intromisiones indeseadas.intromisiones indeseadas. La función del firewall es ser una sólida barrera entre su red y el mundoLa función del firewall es ser una sólida barrera entre su red y el mundo exterior. Este permite habilitar el acceso a usuarios y servicios aprobadosexterior. Este permite habilitar el acceso a usuarios y servicios aprobados..
AUDITORIA DE LA SEGURIDAD ENAUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDESCOMUNICACIONES Y REDES Algunos puntos complementarios a revisar son:  Tipos de redes y conexiones.  Información y programas transmitidos, y uso de cifrado.  Tipos de transacciones.  Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno.  Protección de transmisiones por fax si el contenido está clasificado.  Protección de conversaciones de voz .  Transferencia de ficheros y controles existentes.
AUDITORIA DE LA CONTINUIDAD DE LASAUDITORIA DE LA CONTINUIDAD DE LAS OPERACIONESOPERACIONES  Revisar si existe el Plan de Contingencia o Plan de Continuidad; si es completo y actualizado, si cubre procesos, áreas y plataformas.  Evaluar los resultados de las pruebas que se hayan realizado.  Si las revisiones no aportan garantías suficientes, se debe sugerir pruebas complementarias o hacerlo constar en el informe.  Revisar la existencia de copias actualizadas de los recursos vitales en un lugar distante y en condiciones adecuadas
Evaluación de la Seguridad Física yEvaluación de la Seguridad Física y LógicaLógica
Consola del Operador.Consola del Operador. La mayoría de las consolas de operadorLa mayoría de las consolas de operador no tienen controles fuertes de accesono tienen controles fuertes de acceso lógico y proveen un alto nivel de accesológico y proveen un alto nivel de acceso al sistema de la computadora; por loal sistema de la computadora; por lo tanto, la terminal debe estar ubicada entanto, la terminal debe estar ubicada en un área asegurada físicamente.un área asegurada físicamente. Vías de Acceso LógicoVías de Acceso Lógico El acceso lógico a la computadora puede obtenerse a través deEl acceso lógico a la computadora puede obtenerse a través de diversas vías. Cada vía está sujeta a niveles apropiados dediversas vías. Cada vía está sujeta a niveles apropiados de seguridad de acceso. Los métodos de acceso incluyen losseguridad de acceso. Los métodos de acceso incluyen los siguientes:siguientes: Aspectos a ConsiderarAspectos a Considerar
Terminales en Línea.Terminales en Línea. Las computadoras personales (PCs) se usan a menudo comoLas computadoras personales (PCs) se usan a menudo como terminales de acceso en línea a través de un software de emulación determinales de acceso en línea a través de un software de emulación de terminal. Esto plantea un riesgo particular ya que las PCs pueden serterminal. Esto plantea un riesgo particular ya que las PCs pueden ser programadas para almacenar y para recordar al usuario los códigos deprogramadas para almacenar y para recordar al usuario los códigos de acceso y las contraseñas.acceso y las contraseñas. Procesamiento de Trabajos en Lote.Procesamiento de Trabajos en Lote. La seguridad se logra restringiendo las personas que pueden acumularLa seguridad se logra restringiendo las personas que pueden acumular transacciones (funcionarios de ingreso de datos) y las personas quetransacciones (funcionarios de ingreso de datos) y las personas que pueden iniciar el procesamiento de los lotes (los operadores depueden iniciar el procesamiento de los lotes (los operadores de computadora o el sistema automático de cronogramas de trabajo).computadora o el sistema automático de cronogramas de trabajo). Además, se deben controlar cuidadosamente los procedimientos y/oAdemás, se deben controlar cuidadosamente los procedimientos y/o las autorizaciones para manipular las transacciones acumuladas anteslas autorizaciones para manipular las transacciones acumuladas antes de procesar el lote.de procesar el lote.
Puertos de Llamada.Puertos de Llamada. Se logra la seguridad proporcionando un medio para identificar elSe logra la seguridad proporcionando un medio para identificar el usuario remoto a fin de determinar la autorización de acceso.usuario remoto a fin de determinar la autorización de acceso. EstoEsto puede ser una línea de rellamada, el uso de número de usuario de iniciopuede ser una línea de rellamada, el uso de número de usuario de inicio de sesión y un software de control de acceso o puede requerir que unde sesión y un software de control de acceso o puede requerir que un operador de computadora verifique la identidad del que llama y luegooperador de computadora verifique la identidad del que llama y luego suministre la conexión a la computadora.suministre la conexión a la computadora.  Archivos de Datos.Archivos de Datos. Hubo un tiempo en que se creía que los virus no podían infectar losHubo un tiempo en que se creía que los virus no podían infectar los archivos de datos, pero recientemente se ha escrito que los virusarchivos de datos, pero recientemente se ha escrito que los virus también infectan los archivos de datos. Los virus pueden diseminarsetambién infectan los archivos de datos. Los virus pueden diseminarse rápidamente en toda una red de área local (LANrápidamente en toda una red de área local (LAN).).
Software de Control de Acceso.Software de Control de Acceso. El software de control de acceso está diseñado para prevenir el accesoEl software de control de acceso está diseñado para prevenir el acceso no autorizado a los datos, el uso de las funciones y de los programas deno autorizado a los datos, el uso de las funciones y de los programas de sistema, actualizaciones /cambios no autorizados a los datos y detectarsistema, actualizaciones /cambios no autorizados a los datos y detectar o impedir un intento no autorizado de entrar a los recursos de lao impedir un intento no autorizado de entrar a los recursos de la computadora. El software de control de acceso interactúa con el sistemacomputadora. El software de control de acceso interactúa con el sistema operativo y actúa como un control central para todas las decisiones deoperativo y actúa como un control central para todas las decisiones de seguridad.seguridad. SERVIDOR CLIENTE
Propiedad de los Datos.Propiedad de los Datos. El Auditor deEl Auditor de TITI puede usar esta información para determinar si dichapuede usar esta información para determinar si dicha propiedad se ha asignado a la persona correcta.propiedad se ha asignado a la persona correcta. EEl Auditor del Auditor de TITI puede determinar si ellos están conscientes de laspuede determinar si ellos están conscientes de las responsabilidades implícitas en la propiedad de los datos.responsabilidades implícitas en la propiedad de los datos. El Auditor deEl Auditor de TITI debe también revisar un muestra de descripciones dedebe también revisar un muestra de descripciones de puestos de trabajo para asegurar que las responsabilidades y funcionespuestos de trabajo para asegurar que las responsabilidades y funciones sean consistentes con la política de seguridad de la información.sean consistentes con la política de seguridad de la información. El auditor debe revisar la clasificación de los datos y evaluar si la mismaEl auditor debe revisar la clasificación de los datos y evaluar si la misma es la adecuada en la medida que se relaciona con el área que está enes la adecuada en la medida que se relaciona con el área que está en revisión.revisión. Aspectos a ConsiderarAspectos a Considerar
Los Propietarios de los DatosLos Propietarios de los Datos Sus responsabilidades de seguridad incluyen autorizar el accesoSus responsabilidades de seguridad incluyen autorizar el acceso.. AAsegurar que estén actualizadas las reglas de acceso cuando ocurransegurar que estén actualizadas las reglas de acceso cuando ocurran cambios de personalcambios de personal.. IInventariar periódicamente las reglas de acceso para los datos de losnventariar periódicamente las reglas de acceso para los datos de los que son responsables.que son responsables. Administrador de Seguridad.Administrador de Seguridad. Los administradores de seguridad son responsables de proveer laLos administradores de seguridad son responsables de proveer la seguridad física y lógica adecuada para los programas de ISseguridad física y lógica adecuada para los programas de IS.. LLa política de seguridad de información proveerá las directricesa política de seguridad de información proveerá las directrices básicos bajo los cuales operará el administrador de seguridad.básicos bajo los cuales operará el administrador de seguridad.
Los Usuarios de Datos.Los Usuarios de Datos. Sus niveles de acceso a la computadora deben ser autorizados porSus niveles de acceso a la computadora deben ser autorizados por los propietarios de datos y deben ser restringidos y monitoreados por ellos propietarios de datos y deben ser restringidos y monitoreados por el administrador de seguridad.administrador de seguridad. Autorizaciones Documentadas.Autorizaciones Documentadas. El acceso a los datos debe identificarse y ser autorizado por escrito.El acceso a los datos debe identificarse y ser autorizado por escrito. El Auditor deEl Auditor de TITI puede revisar una muestra de estas autorizacionespuede revisar una muestra de estas autorizaciones para determinar si se proveyó el nivel apropiado de autoridad porpara determinar si se proveyó el nivel apropiado de autoridad por escritoescrito..
Normas de Acceso.Normas de Acceso. El Auditor de ÍS debe revisar las normas de acceso para asegurar queEl Auditor de ÍS debe revisar las normas de acceso para asegurar que las mismas cumplan con los objetivos de la organizaciónlas mismas cumplan con los objetivos de la organización.. QQue cumplue cumplaan con los requerimientos de las políticas para minimizar eln con los requerimientos de las políticas para minimizar el riesgo de acceso no autorizado.riesgo de acceso no autorizado. Revisión de las políticas, los procedimientos y las normas escritasRevisión de las políticas, los procedimientos y las normas escritas El Auditor deEl Auditor de TITI debe revisar las políticas y los procedimientos paradebe revisar las políticas y los procedimientos para determinar si los mismos fijan las pautas para la debida seguridad ydeterminar si los mismos fijan las pautas para la debida seguridad y proveen un medio para asignar la responsabilidad del mantenimiento deproveen un medio para asignar la responsabilidad del mantenimiento de un ambiente seguro de procesamiento de computadoraun ambiente seguro de procesamiento de computadora..
Política de PasswoardPolítica de Passwoard:: Políticas de Seguridad de Acceso LógicoPolíticas de Seguridad de Acceso Lógico Estas pEstas políticasolíticas deben estimular la limitación del acceso lógico adeben estimular la limitación del acceso lógico a una base de necesidad de saber. Ellas deben estimar de manerauna base de necesidad de saber. Ellas deben estimar de manera razonable la exposición a las preocupaciones identificadas.razonable la exposición a las preocupaciones identificadas. Conciencia y Entrenamiento Formal en SeguridadConciencia y Entrenamiento Formal en Seguridad Promover la conciencia de la seguridad es un control preventivo. APromover la conciencia de la seguridad es un control preventivo. A través de este proceso, los empleados se dan cuenta de sustravés de este proceso, los empleados se dan cuenta de sus responsabilidades de mantener una buena seguridad física yresponsabilidades de mantener una buena seguridad física y lógica.lógica. EEl Auditor del Auditor de TITI debe entrevistar una muestra representativadebe entrevistar una muestra representativa de empleados para determinar su conciencia de la seguridad.de empleados para determinar su conciencia de la seguridad.
Alcance de la Auditoria a la Seguridad LógicaAlcance de la Auditoria a la Seguridad Lógica 1.1. Manejo de las Medidas de Seguridad.Manejo de las Medidas de Seguridad. 2.2. Identificación, Autenticación y Acceso.Identificación, Autenticación y Acceso. 3.3. Seguridad de Acceso a Datos en Línea.Seguridad de Acceso a Datos en Línea. 4.4. Administración de Cuentas de Usuario.Administración de Cuentas de Usuario. 5.5. Revisión Gerencial de Cuentas de Usuario.Revisión Gerencial de Cuentas de Usuario. 6.6. Control de Usuario de las Cuentas de Usuario.Control de Usuario de las Cuentas de Usuario. 7.7. Clasificación de Datos.Clasificación de Datos. 8.8. Administración Centralizada de Identificación y Derechos de Acceso.Administración Centralizada de Identificación y Derechos de Acceso. 9.9. Reportes de Actividades de Violación y Seguridad.Reportes de Actividades de Violación y Seguridad. 10.10. Manejo de IncidentesManejo de Incidentes.. 11.11. Autorización de Transacción.Autorización de Transacción.
 Se cuenta con un plan de seguridad estratégicoSe cuenta con un plan de seguridad estratégico  Se cuenta con una organización de seguridad centralizadaSe cuenta con una organización de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos delresponsable de asegurar el acceso apropiado a los recursos del sistema.sistema.  Se cuenta con un esquema de clasificación de datos enSe cuenta con un esquema de clasificación de datos en operación que indique todos los recursos del sistemaoperación que indique todos los recursos del sistema..  Se cuenta con perfiles de seguridad de usuario que muestrenSe cuenta con perfiles de seguridad de usuario que muestren revisiones regulares con fines de reacreditación.revisiones regulares con fines de reacreditación. Existen políticas y procedimientos para:Existen políticas y procedimientos para: ConsiderandConsiderand oo
La función de servicios de información cumple con los estándares deLa función de servicios de información cumple con los estándares de seguridad relacionados con:seguridad relacionados con: · Autenticación y acceso.· Autenticación y acceso. · Administración de clasificación de perfiles de usuario y seguridad de· Administración de clasificación de perfiles de usuario y seguridad de datos.datos. · Reportes y revisión gerencial de la violación e incidentes de seguridad.· Reportes y revisión gerencial de la violación e incidentes de seguridad. · Estándares criptográficos administrativos clave.· Estándares criptográficos administrativos clave. · Detección de virus, solución y comunicación.· Detección de virus, solución y comunicación. · Clasificación y propiedad de datos.· Clasificación y propiedad de datos. Probando que:Probando que:
Llevando a CaboLlevando a Cabo:: Una revisión detallada de la seguridad de los sistemas de información,Una revisión detallada de la seguridad de los sistemas de información, incluyendo evaluaciones de penetración de la seguridad, física y lógicaincluyendo evaluaciones de penetración de la seguridad, física y lógica de los recursos computacionales, de comunicación, etc.de los recursos computacionales, de comunicación, etc. Entrevistas a los nuevos empleados para asegurar el conocimiento y laEntrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las responsabilidadesconciencia en cuanto a seguridad y en cuanto a las responsabilidades individualesindividuales.. Entrevistas a usuarios para asegurar que el acceso está determinadoEntrevistas a usuarios para asegurar que el acceso está determinado tomando como base la necesidad y que la precisión de dicho acceso estomando como base la necesidad y que la precisión de dicho acceso es revisada regularmente por la gerencia.revisada regularmente por la gerencia.
IdentificandoIdentificando:: Accesos inapropiados por parte de los usuarios a los recursos delAccesos inapropiados por parte de los usuarios a los recursos del sistema.sistema. Requisiciones informales o no aprobadas de acceso a los recursosRequisiciones informales o no aprobadas de acceso a los recursos del sistemadel sistema ssoftware de monitoreo de redes que no indique a laoftware de monitoreo de redes que no indique a la administración de redes las violaciones a la seguridad.administración de redes las violaciones a la seguridad. Defectos en los procedimientos de control de cambios del softwareDefectos en los procedimientos de control de cambios del software de redes.de redes. La falta de software actualizado para la detección de virus o deLa falta de software actualizado para la detección de virus o de procedimientos formales para prevenir, detectar, corregir y comunicarprocedimientos formales para prevenir, detectar, corregir y comunicar contaminacionescontaminaciones..
1.1. Seguridad FísicaSeguridad Física 2.2. Bajo Perfil de las Instalaciones de Tecnología de InformaciónBajo Perfil de las Instalaciones de Tecnología de Información 3.3. Escolta de VisitantesEscolta de Visitantes 4.4. Salud y Seguridad del PersonalSalud y Seguridad del Personal 5.5. Protección contra Factores AmbientalesProtección contra Factores Ambientales 6.6. Suministro Ininterrumpido de EnergíaSuministro Ininterrumpido de Energía Alcance de la Auditoria a la Seguridad FísicaAlcance de la Auditoria a la Seguridad Física
•• Entrada no autorizadaEntrada no autorizada •• Daño, vandalismo o robo a los equipos o a los documentosDaño, vandalismo o robo a los equipos o a los documentos •• Copia o visualización de información sensiCopia o visualización de información sensibleble o patentadao patentada •• Alteración de equipos e información sensiAlteración de equipos e información sensiblebless •• Revelación al público de información sensiRevelación al público de información sensibleble •• Abuso de los recursos de procesamiento de datosAbuso de los recursos de procesamiento de datos •• ChantajeChantaje •• FraudeFraude Problemas y exposiciones de Acceso FísicoProblemas y exposiciones de Acceso Físico
Posibles PerpetradoresPosibles Perpetradores LosLos empleadosempleados que tienen acceso autorizado o no autorizado que están:que tienen acceso autorizado o no autorizado que están: •• Descontentos (irritados o preocupados por alguna acción emprendida porDescontentos (irritados o preocupados por alguna acción emprendida por la organización o por la gerencia de ésta)la organización o por la gerencia de ésta) •• En huelgaEn huelga •• Amenazados con una acción disciplinaria o con despidoAmenazados con una acción disciplinaria o con despido •• Se les haya notificado su despidoSe les haya notificado su despido •• Personas ajenas interesadas o informadas, como por ejemplo losPersonas ajenas interesadas o informadas, como por ejemplo los competidores, ladrones, el crimen organizado y los intrusoscompetidores, ladrones, el crimen organizado y los intrusos.. •• El ignorante accidental - una persona que sin saberlo, comete unaEl ignorante accidental - una persona que sin saberlo, comete una violación (podría ser un empleado o una persona ajena).violación (podría ser un empleado o una persona ajena).
** Otras preguntas y preocupaciones para considerar incluyen lasOtras preguntas y preocupaciones para considerar incluyen las siguientes:siguientes: •• ¿Las instalaciones de hardware están razonablemente protegidas¿Las instalaciones de hardware están razonablemente protegidas contra las entradas forzadas?contra las entradas forzadas? •• ¿Las llaves de las instalaciones de computadoras están controladas¿Las llaves de las instalaciones de computadoras están controladas de una forma adecuada para reducir el riesgo de un acceso node una forma adecuada para reducir el riesgo de un acceso no autorizado?autorizado? •• ¿Están las terminales inteligentes de computadoras cerradas con llave¿Están las terminales inteligentes de computadoras cerradas con llave o de otro modo aseguradas para impedir que se lleven las tarjetas, loso de otro modo aseguradas para impedir que se lleven las tarjetas, los chips y la computadora misma?chips y la computadora misma? •• ¿Se requieren pases autorizados de los equipos antes de que los¿Se requieren pases autorizados de los equipos antes de que los equipos de computadora sean sacados de sus áreas normales seguras?equipos de computadora sean sacados de sus áreas normales seguras?
Desde el punto de vista deDesde el punto de vista de TITI, las instalaciones que deben ser, las instalaciones que deben ser protegidas incluyen las siguientes:protegidas incluyen las siguientes: •• El área de programaciónEl área de programación •• La sala de computadorasLa sala de computadoras •• Las consolas y terminales del OperadorLas consolas y terminales del Operador •• Biblioteca de cintas, cintas, discos y todos los mediosBiblioteca de cintas, cintas, discos y todos los medios magnéticosmagnéticos •• Salas de almacenamiento y suministrosSalas de almacenamiento y suministros •• Sala de control de Entrada/ SalidaSala de control de Entrada/ Salida •• ArmariosArmarios de comunicacionesde comunicaciones
Auditoria al Acceso FísicoAuditoria al Acceso Físico En este recorrido se debe incluir la instalación de procesamiento deEn este recorrido se debe incluir la instalación de procesamiento de informacióninformación.. Ubicación de todas las consolas de operadorUbicación de todas las consolas de operador Salas de impresiónSalas de impresión Salas de almacenamiento de computadorasSalas de almacenamiento de computadoras.. UPS/GeneradorUPS/Generador Ubicación de todos los equipos de comunicacionesUbicación de todos los equipos de comunicaciones identificados enidentificados en el diagrama de redel diagrama de red Biblioteca de cintas.Biblioteca de cintas. PC PC
Seguridad FísicaSeguridad Física Controles de Acceso FísicoControles de Acceso Físico Los controles de acceso físico están diseñados para proteger laLos controles de acceso físico están diseñados para proteger la organización contra los accesos no autorizadosorganización contra los accesos no autorizados.. AlAlgunos de los controles de acceso más comunes:gunos de los controles de acceso más comunes:  Cerraduras, de Puerta de CerrojoCerraduras, de Puerta de Cerrojo..  Cerraduras de Puerta de CombinaciónCerraduras de Puerta de Combinación..  Cerraduras Electrónicas de PuertasCerraduras Electrónicas de Puertas..  Cerraduras Biométricas de PuertasCerraduras Biométricas de Puertas..  Bitácora ManualBitácora Manual..  Bitácora ElectrónicaBitácora Electrónica..
AAuditando lauditando la SSeguridad de laeguridad de la IInfraestructura denfraestructura de lala RReded Revisión de los Diagramas de la RedRevisión de los Diagramas de la Red IIdentifican las conexiones de telecomunicación entre la computadora,dentifican las conexiones de telecomunicación entre la computadora, las terminales y los dispositivos periféricoslas terminales y los dispositivos periféricos.. La Seguridad del Acceso RemotoLa Seguridad del Acceso Remoto ElEl acceso remoto debe estar documentado y deben implementarseacceso remoto debe estar documentado y deben implementarse para los usuarios autorizados fuera del ambiente de redpara los usuarios autorizados fuera del ambiente de red..
Los controles de seguridad delLos controles de seguridad del ACCESO REMOTOACCESO REMOTO deben estardeben estar documentados y deben implementarse para los usuarios autorizadosdocumentados y deben implementarse para los usuarios autorizados fuera del ambiente de red en el que se confía.fuera del ambiente de red en el que se confía. •• El fírewaEl fírewalll debe negar implícitamente los servicios con excepción del debe negar implícitamente los servicios con excepción de los que estén permitidos explícitamente.los que estén permitidos explícitamente. •• El firewaEl firewalll debe poder filtrar el acceso de llamadas de entrada.l debe poder filtrar el acceso de llamadas de entrada. •• Si el fírewaSi el fírewalll usa un sistema operativo, éste debe ser seguro.l usa un sistema operativo, éste debe ser seguro. •• La fortaleza del fírewaLa fortaleza del fírewalll y la validez de su funcionalidad y losl y la validez de su funcionalidad y los parámetros deben poder ser verificadosparámetros deben poder ser verificados
Política de SeguridadPolítica de Seguridad
Política de SeguridadPolítica de Seguridad  Clasificación de la Información (Sensible, Confidencial, Interna y Pública) y su destrucción (non-disclosure).  Evaluación de riesgos o Risk Assessment (confidencialidad, integridad, criticidad).  Gestión de Recursos Humanos alineados a la política y programa de entrenamiento.  Gestión y control de servicios de “outsourcing”.  Controles operativos y perfiles (integridad de la info.).  Controles de acceso y uso de todos los recursos.  Gestión de antivirus, patches y fixes.  Incidentes de seguridad a ser controlados, manejo y escalamiento de los mismos.  Metodología de revisión de seguridad y su aplicabilidad.
Política de Seguridad ... Cont.Política de Seguridad ... Cont.  Integridad, almacenamiento y recuperación del software, Control de Cambios (desarrollo, testeo y producción).  Estándares de desarrollo, diseño e implementación de web.  Seguridad y arquitectura de la red interna-externa y administración remota, uso del mail.  Seguridad de las estaciones de trabajo y del área.  Configuración de seguridad del software de base (S.O., DBMS).  Políticas y procedimientos para el manejo de backups y documentación.  Logs de seguridad y transaccionales (frecuencia).  Medidas de seguridad física.  Políticas y procedimientos para el manejo de contingencia (Continuidad de negocios).
PROTECCION DE LAPROTECCION DE LA INFORMACIONINFORMACION
Para todos Los procesos del negocio
Valor de los Recursos y la Información aValor de los Recursos y la Información a ProtegerProteger La seguridad debe ser una de las prioridades de la Dirección deLa seguridad debe ser una de las prioridades de la Dirección de Tecnologías de Información. ÉTecnologías de Información. Ésta se divide en cinco etapas:sta se divide en cinco etapas: 1.1. Planeación de las necesidades de seguridad.Planeación de las necesidades de seguridad. 2.2. Análisis de riesgos.Análisis de riesgos. 3.3. Análisis de costo-beneficio.Análisis de costo-beneficio. 4.4. Creación de políticas que reflejen las necesidades.Creación de políticas que reflejen las necesidades. 5.5. Implementación.Implementación.
PPrincipios de Importancia Fundamentalrincipios de Importancia Fundamental:: • Concienciación sobre seguridad y políticas debe de ir de arribaConcienciación sobre seguridad y políticas debe de ir de arriba hacia abajo en una organizaciónhacia abajo en una organización.. • La seguridad efectiva quiere decir proteger la información.La seguridad efectiva quiere decir proteger la información. Todos los planes, políticas y procedimientos deben reflejar laTodos los planes, políticas y procedimientos deben reflejar la necesidad de protegernecesidad de proteger sus manifestacionessus manifestaciones
Implantación de Medidas de SeguridadImplantación de Medidas de Seguridad 1.1. Planeación de las Necesidades de SeguridadPlaneación de las Necesidades de Seguridad Se tiene que tomar en cuenta los siguientes tipos de necesidades, ySe tiene que tomar en cuenta los siguientes tipos de necesidades, y prioritizarlas de acuerdo al orden de importancia colocándolas enprioritizarlas de acuerdo al orden de importancia colocándolas en una tabla que refleje el tipo y la prioridad propuestauna tabla que refleje el tipo y la prioridad propuesta.. Confidencialidad.-Confidencialidad.- Proteger la información para que nadieProteger la información para que nadie pueda leerla o copiarlapueda leerla o copiarla.. Integridad de Datos.-Integridad de Datos.- Proteger la información (incluyendoProteger la información (incluyendo programas) para evitar que se borre o altere de cualquierprogramas) para evitar que se borre o altere de cualquier maneramanera..
Disponibilidad.-Disponibilidad.-Proteger los servicios para que no seProteger los servicios para que no se degraden o dejen de estar disponibles sidegraden o dejen de estar disponibles si la consecuenciala consecuencia puede ser tan dañina como perder información que estépuede ser tan dañina como perder información que esté guardada en el sistemaguardada en el sistema.. Consistencia.-Consistencia.- Si los programas o el equipo repentinamenteSi los programas o el equipo repentinamente se comportan en forma distintase comportan en forma distinta en especial después de unaen especial después de una actualización o de la eliminación de un error, puede suceder unactualización o de la eliminación de un error, puede suceder un desastredesastre..  Control.- Reglamentar el acceso al sistema.Control.- Reglamentar el acceso al sistema.  Auditoria.- Si lAuditoria.- Si los usuarios autorizados a veces se equivocan,os usuarios autorizados a veces se equivocan, o cometen actos maliciososo cometen actos maliciosos,, es necesario determinar qué sees necesario determinar qué se hizo, quién lo hizo y qué fue afectado. La única forma de lograrhizo, quién lo hizo y qué fue afectado. La única forma de lograr esto es tener un registro inexpugnable de la actividad queesto es tener un registro inexpugnable de la actividad que sucede en el sistemasucede en el sistema..
2.2. Análisis de RiesgosAnálisis de Riesgos.. El análisis de riesgos es una parte muy importante del procesoEl análisis de riesgos es una parte muy importante del proceso de seguridad informática. No se puede proteger algo si no sede seguridad informática. No se puede proteger algo si no se sabe contra qué hay que protegerlo.sabe contra qué hay que protegerlo. Se cuenta con tres etapas para reducir los riesgos:Se cuenta con tres etapas para reducir los riesgos: a.a. Identificación de los activosIdentificación de los activos:: Se debe hacer una lista de todo lo que se quiere protegerSe debe hacer una lista de todo lo que se quiere proteger,, incluidosincluidos intangibles (capacidad de seguir operando, imagenintangibles (capacidad de seguir operando, imagen públicapública)). Para determinar si algo es valioso hay que pensar. Para determinar si algo es valioso hay que pensar en lo que costaría en pérdida de ingresos, tiempo perdido oen lo que costaría en pérdida de ingresos, tiempo perdido o costo de reparación o reemplazo.costo de reparación o reemplazo.
b.b. Identificación AmenazasIdentificación Amenazas:: Algunas amenazas serán ambientales, como incendios,Algunas amenazas serán ambientales, como incendios, inundaciones, etc. Otras provienen del personal, alumnos yinundaciones, etc. Otras provienen del personal, alumnos y de extrañosde extraños.. c.c. Cálculo de los riesgosCálculo de los riesgos :: Cuando se han identificado los riesgos debe estimarse laCuando se han identificado los riesgos debe estimarse la probabilidad de que ocurra cada uno de ellos, se recomiendaprobabilidad de que ocurra cada uno de ellos, se recomienda considerar ocurrencias anualesconsiderar ocurrencias anuales..
3.3. Análisis de CAnálisis de Costo-osto-BBeneficioeneficio.. Al terminar el análisis de riesgos es necesario asignar un costo aAl terminar el análisis de riesgos es necesario asignar un costo a cada riesgo, y determinar el costo de eliminar el riesgo. Unacada riesgo, y determinar el costo de eliminar el riesgo. Una manera para calcular las pérdidas se toma el costo de reparar omanera para calcular las pérdidas se toma el costo de reparar o sustituir el objetosustituir el objeto..

Recomendados

Seguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosSeguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosJavi Hurtado
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaNiccoRodriguez
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. IdentidadFrancisco Medina
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaVal Glizz Ayala Cifuentes
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadLuis Fernando Aguas Bucheli
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 

Recomendados

Seguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosSeguridad, riesgos y delitos informáticos
Seguridad, riesgos y delitos informáticosJavi Hurtado
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaNiccoRodriguez
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. IdentidadFrancisco Medina
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaVal Glizz Ayala Cifuentes
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadLuis Fernando Aguas Bucheli
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. NormasLuis Fernando Aguas Bucheli
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTSJose Manuel Acosta
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Unidad7
Unidad7Unidad7
Unidad7Universidad Autónoma de Nayarit
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANJack Daniel Cáceres Meza
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosNet-Learning - Soluciones para e-learning
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógicatecnodelainfo
 
Ejercicio grupal04imp
Ejercicio grupal04impEjercicio grupal04imp
Ejercicio grupal04impMiguel Angel Sandoval Calderon
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaCarlos Miranda
 

Más contenido relacionado

La actualidad más candente

Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTSJose Manuel Acosta
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANJack Daniel Cáceres Meza
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 

La actualidad más candente (20)

S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. Normas
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTS
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
 
Unidad7
Unidad7Unidad7
Unidad7
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles Logicos
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informática
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
 
Sgsi
SgsiSgsi
Sgsi
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
 

Destacado

Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaCarlos Miranda
 
Auditoria sistema ti
Auditoria sistema tiAuditoria sistema ti
Auditoria sistema tiRuben Robles
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 
Estructura del departamento de auditoria interna
Estructura del departamento de auditoria internaEstructura del departamento de auditoria interna
Estructura del departamento de auditoria internaelizabeth070990
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoriarubyvg
 

Destacado (9)

Ejercicio grupal04imp
Ejercicio grupal04impEjercicio grupal04imp
Ejercicio grupal04imp
 
Introduccion a la Seguridad informatica
Introduccion a la Seguridad informaticaIntroduccion a la Seguridad informatica
Introduccion a la Seguridad informatica
 
Auditoria sistema ti
Auditoria sistema tiAuditoria sistema ti
Auditoria sistema ti
 
Auditoria y seguridad de ti
Auditoria y seguridad de tiAuditoria y seguridad de ti
Auditoria y seguridad de ti
 
Guia de auditoria_de_ti
Guia de auditoria_de_tiGuia de auditoria_de_ti
Guia de auditoria_de_ti
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TI
 
Estructura del departamento de auditoria interna
Estructura del departamento de auditoria internaEstructura del departamento de auditoria interna
Estructura del departamento de auditoria interna
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoria
 

Similar a 04 ai seguridad

Sistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosSistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosEDSA TI
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosDrakonis11
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdfCloeCornejo
 
Áreas-de-la-Auditoría-1.pptx
Áreas-de-la-Auditoría-1.pptxÁreas-de-la-Auditoría-1.pptx
Áreas-de-la-Auditoría-1.pptxManDiseoHG
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redesbatuvaps
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticauriel plata
 

Similar a 04 ai seguridad (20)

Proyecto SAAC
Proyecto SAACProyecto SAAC
Proyecto SAAC
 
Sistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosSistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas Operativos
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf
 
Áreas-de-la-Auditoría-1.pptx
Áreas-de-la-Auditoría-1.pptxÁreas-de-la-Auditoría-1.pptx
Áreas-de-la-Auditoría-1.pptx
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de Seguridad
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Presentación1
Presentación1Presentación1
Presentación1
 
Alonso hernandez marcos de jesus
Alonso hernandez marcos de jesusAlonso hernandez marcos de jesus
Alonso hernandez marcos de jesus
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Septima U
Septima USeptima U
Septima U
 
Guia 1ra parte
Guia 1ra parteGuia 1ra parte
Guia 1ra parte
 
Unidad II_HAcking Etico II.pptx
Unidad II_HAcking Etico II.pptxUnidad II_HAcking Etico II.pptx
Unidad II_HAcking Etico II.pptx
 

Más de Miguel Angel Sandoval Calderon

Más de Miguel Angel Sandoval Calderon (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
657.453 c784d-capitulo iv
657.453 c784d-capitulo iv657.453 c784d-capitulo iv
657.453 c784d-capitulo iv
 
Cobit presentation package_sp
Cobit presentation package_spCobit presentation package_sp
Cobit presentation package_sp
 
Tema3 procesos
Tema3 procesos Tema3 procesos
Tema3 procesos
 
TRABAJO DE FIN DE CURSO
TRABAJO DE FIN DE CURSO TRABAJO DE FIN DE CURSO
TRABAJO DE FIN DE CURSO
 
05 ds5
05 ds505 ds5
05 ds5
 
05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos
 
05 ai seguridad2
05 ai seguridad205 ai seguridad2
05 ai seguridad2
 
Proforma2010
Proforma2010Proforma2010
Proforma2010
 
Ejercicio grupal03imp
Ejercicio grupal03impEjercicio grupal03imp
Ejercicio grupal03imp
 
Ejercicio grupal03imp
Ejercicio grupal03impEjercicio grupal03imp
Ejercicio grupal03imp
 
03 objetivosplanprograma
03 objetivosplanprograma03 objetivosplanprograma
03 objetivosplanprograma
 
Ejercicio grupal02imp
Ejercicio grupal02impEjercicio grupal02imp
Ejercicio grupal02imp
 
02 controliterno
02 controliterno02 controliterno
02 controliterno
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
 
Silabo auditoria informatica ( analisis v ciclo)
Silabo auditoria informatica ( analisis v ciclo)Silabo auditoria informatica ( analisis v ciclo)
Silabo auditoria informatica ( analisis v ciclo)
 
Ejercicio grupal01imp
Ejercicio grupal01impEjercicio grupal01imp
Ejercicio grupal01imp
 
01 auditoriaTI -CLASE 1
01 auditoriaTI -CLASE 101 auditoriaTI -CLASE 1
01 auditoriaTI -CLASE 1
 
TERCERA PATE - Resumen ingenieria-del-software
TERCERA PATE - Resumen ingenieria-del-softwareTERCERA PATE - Resumen ingenieria-del-software
TERCERA PATE - Resumen ingenieria-del-software
 
SEGUNDA PARTE - Gestion de la calidad del software
SEGUNDA PARTE - Gestion de la calidad del softwareSEGUNDA PARTE - Gestion de la calidad del software
SEGUNDA PARTE - Gestion de la calidad del software
 

Último

FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORDFICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORDRobertSotilLujn
 
Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleEcaresoft Inc.
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equiponicromante2000
 
PitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesPitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesjuanorejuela499
 
Los desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMsLos desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMsFederico Toledo
 
trabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docxtrabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docxlasocharfuelan123
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfjuanjosebarreiro704
 
infografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de softwareinfografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de softwareoscartorres960914
 
MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.CarmenFlores88207
 
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...cuentauniversidad34
 
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisiónPSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisiónCamilaEspinozaCruz
 

Último (11)

FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORDFICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
 
Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La Salle
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipo
 
PitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesPitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitales
 
Los desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMsLos desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMs
 
trabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docxtrabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docx
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdf
 
infografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de softwareinfografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de software
 
MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.MODULO BASICO DE WORD - I CICLO.DOC.DOC.
MODULO BASICO DE WORD - I CICLO.DOC.DOC.
 
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
 
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisiónPSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
PSICOLOGÍA si quieres aprender los temas principales para el examen de admisión
 

04 ai seguridad

  • 1. Conceptos Generales de laConceptos Generales de la SSeguridadeguridad de TIde TI
  • 2. AUDITORIA DE LA SEGURIDADAUDITORIA DE LA SEGURIDAD  Para muchos la seguridad sigue siendo el área principal a auditar.  Puede haber seguridad sin auditoria, puede existir auditoria de otras áreas y queda un espacio de encuentro: la auditoria de la seguridad.
  • 3. EVALUACION DE RIESGOSEVALUACION DE RIESGOS  Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que lo eliminen; lo que generalmente no es posible; o, que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.  Para evaluar riesgos hay que considerar, entre otros factores, el tipo de información almacenada, procesada y trasmitida, la criticidad de las aplicaciones, la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento.
  • 4. Problemas de Red 24% Otros 23% Robo de Data 7% Sabotaje 5% Fallas de la 11% ,a la red Virus de Computadora 12% Error de 14% Problemas de Seguridad Relacionados con laProblemas de Seguridad Relacionados con la Pérdida FinancieraPérdida Financiera Ingresos 4% Computadora Software
  • 5. FASES DE LA AUDITORIA DE SEGURIDADFASES DE LA AUDITORIA DE SEGURIDAD  Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad.  Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de especialistas necesarios, sobre todo en la auditoria externa.  Realización de entrevistas y pruebas  Análisis de resultado y valoración de riesgos.  Presentación y discusión del informe provisional.  Informe definitivo.
  • 6. AUDITORIA DE SEGURIDAD FISICAAUDITORIA DE SEGURIDAD FISICA  Ubicación de los centros de procesos y de los servidores locales y en general cualquier elemento a proteger.  Estructura, diseño construcción y distribución de los edificios y de sus plantas.  Amenazas de fuego.  Controles preventivos.  Control de acceso, en determinados edificios.  Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y posible transporte.
  • 7. AUDITORIA DE SEGURIDAD LOGICAAUDITORIA DE SEGURIDAD LOGICA  Es necesario verificar que cada usuario solo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado. Algunos aspectos a evaluar:  Quien asigna la contraseña: inicial y sucesivas.  Longitud mínima y composición de caracteres .  Vigencias  Numero de intentos  Protección o cambio de las contraseñas .
  • 8. SEGURIDAD DE TISEGURIDAD DE TI Definición:Definición: Una política de seguridadde TI es una forma de comunicarseUna política de seguridadde TI es una forma de comunicarse con los usuarios, ya que la mism establece un canal formal decon los usuarios, ya que la mism establece un canal formal de actuación del personal, en relación con los recursos y serviciosactuación del personal, en relación con los recursos y servicios informáticos de la organización.informáticos de la organización.
  • 9. Criterios de SEGURIDADCriterios de SEGURIDAD  La falta de accesibilidad produce una denegación deLa falta de accesibilidad produce una denegación de servicio, que es uno de los ataques más frecuentes enservicio, que es uno de los ataques más frecuentes en Internet.Internet.  CCualquier entidad que envía o recibe datos no puede alegarualquier entidad que envía o recibe datos no puede alegar oo desconocer el hecho.desconocer el hecho.  Los dos criterios anteriores son especialmente importantesLos dos criterios anteriores son especialmente importantes en el entorno bancario y de comercio electrónicoen el entorno bancario y de comercio electrónico.. Los usuarios deben saber que sus actividades quedanLos usuarios deben saber que sus actividades quedan registradas.registradas.
  • 10. SEGURIDAD DE SISTEMASSEGURIDAD DE SISTEMAS OPERATIVOSOPERATIVOS Brevemente, algo de Windows NT o Windows 200XBrevemente, algo de Windows NT o Windows 200X ServerServer
  • 11. AuditoriasAuditorias a)a) AAuditorias de cuentas de usuariosuditorias de cuentas de usuarios:: El Sistema de auditorias de Windows NT permite rastrear sucesos queEl Sistema de auditorias de Windows NT permite rastrear sucesos que ocurren en una máquina NT, servidor de dominio o estación o servidorocurren en una máquina NT, servidor de dominio o estación o servidor NT .NT . La política de auditorias se establece en cada máquina NT. Se puedenLa política de auditorias se establece en cada máquina NT. Se pueden realizarrealizar variosvarios tipos de auditorias en NT:tipos de auditorias en NT: Los eventos que se pueden auditar son:Los eventos que se pueden auditar son: ·· Logon y logoff en la redLogon y logoff en la red ·· Acceso a ficheros , directorios o impresorasAcceso a ficheros , directorios o impresoras ·· Ejercicio de los derechos de un usuarioEjercicio de los derechos de un usuario ·· Seguimiento de procesosSeguimiento de procesos ·· Arranque del sistema...Arranque del sistema...
  • 12. b)b) AAuditorias del sistema de archivosuditorias del sistema de archivos:: LLos eventos que se pueden auditar son: lectura, escritura, ejecución,os eventos que se pueden auditar son: lectura, escritura, ejecución, eliminación, cambio de permisos y toma de posesión.eliminación, cambio de permisos y toma de posesión. Seguridad de Base de Datos.Seguridad de Base de Datos. El primer filtro de seguridad de la Base de Datos lo constituye,El primer filtro de seguridad de la Base de Datos lo constituye, evidentemente, el Sistema Operativo.evidentemente, el Sistema Operativo. Dada la complejidad de los problemas anteriores, es el propio SistemaDada la complejidad de los problemas anteriores, es el propio Sistema de Gestión de Bases de Datos (SGBD) el que proporciona lade Gestión de Bases de Datos (SGBD) el que proporciona la seguridad de éstas. Un SGBD debe mantener los tres criteriosseguridad de éstas. Un SGBD debe mantener los tres criterios básicos:básicos: –– Confidencialidad.Confidencialidad. –– Integridad.Integridad. –– Disponibilidad.Disponibilidad.
  • 13. La seguridad en Bases de Datos se implementa medianteLa seguridad en Bases de Datos se implementa mediante mecanismos de:mecanismos de: –– Identificación y autentificación.Identificación y autentificación. –– Control de acceso a los objetos (datos y recursos).Control de acceso a los objetos (datos y recursos). –– Registro de auditoria.Registro de auditoria. –– Protección criptográfica de alguno de los datosProtección criptográfica de alguno de los datos..
  • 14. Las posibles vulnerabilidades en la Bases de Datos son:Las posibles vulnerabilidades en la Bases de Datos son: –– Ataques Directos: revelación, alteración y destrucción de datos.Ataques Directos: revelación, alteración y destrucción de datos. •• La prevención frente a este tipo de ataques pasa por mecanismos deLa prevención frente a este tipo de ataques pasa por mecanismos de identificación, autentificación y control de accesoidentificación, autentificación y control de acceso..
  • 15. –– Ataques Directos: Inferencias estadísticas.Ataques Directos: Inferencias estadísticas. •• Tratan de descubrir datos sensibles, y privados, en base a parámetrosTratan de descubrir datos sensibles, y privados, en base a parámetros estadísticos que son de acceso más libre (valores medios, desviaciones,estadísticos que son de acceso más libre (valores medios, desviaciones, máximos.máximos. –– Ataques indirectos: Caballo de Troya.Ataques indirectos: Caballo de Troya. •• Son programas hostiles que actúan solapándose bajo un programaSon programas hostiles que actúan solapándose bajo un programa normal. Cuando éste se procesa, el caballo de Troya ataca a la Base denormal. Cuando éste se procesa, el caballo de Troya ataca a la Base de Datos soslayando los mecanismos de protección.Datos soslayando los mecanismos de protección.
  • 16. AUDITORIA DE LA SEGURIDAD DE LOSAUDITORIA DE LA SEGURIDAD DE LOS DATOSDATOS  Es necesario la designación de propietarios.  Clasificación de los datos.  Restricción de su uso para pruebas.  Aquellos soportes que tengan datos o información de los niveles más críticos estarán especialmente protegidos, incluso cifrados.  En el caso de transporte de datos clasificados, debe realizarse por canales seguros, y si es en soporte magnético o por transmisión deben ir cifrados.
  • 17. TECNICAS PARA EL CONTROL DE BASE DE DATOS : * Matrices de control * Análisis de caminos de acceso
  • 18. MATRIZ DE CONTROLMATRIZ DE CONTROL Sirve para identificar los conjuntos de datos del SI junto con los controles de seguridad o integridad de los mismos. DATOS CONTROLES DE SEGURIDAD PREVENTIVOS DETECTIVOS CORRECTIVOS TRANSACCIONES DEENTRADA VERIFICACION INFORMEDE RECONCILIACION REGISTROS DE BASEDEDATOS CIFRADO INFORMEDE EXCEPCION COPIA DE SEGURIDAD
  • 19. ANALISIS DE LOS CAMINOS DE ACCESOANALISIS DE LOS CAMINOS DE ACCESO MONITOR DE TELEPROC ESO MONITOR DE TELEPROC ESO PAQUETE DE SEGURIDA D PAQUETE DE SEGURIDA D PROGRAM A PROGRAM A SGBDSGBD SOSO DATOSDATOS CONTROLE S DIVERSOS COPIAS DE SEGURIDAD FICHERO DIARIO INTEGRIDAD DE DATOS CONTROL DE ACCESO CONTROL DE INTEGRIDAD DE DATOS CONTROL ACCESO REGISTRO DE ACCESO INFORME DE EXCEPCIONES CONTROL ACCESO REGISTRO DE TRANSA TRANSACCIONES ORDENADOR PERSONAL USUARIO SEGURIDA DE CIFRADO FORMACION CONTROLES PROCEDIMIENTO CONTROL ACCESO CIFRADO CONTROL INTEGRIDAD ORDENADOR CENTRAL
  • 20. Formas de ProtecciónFormas de Protección:: El firewall mantiene separada su red interna (de la cual usted tiene control)El firewall mantiene separada su red interna (de la cual usted tiene control) de diferentes tipos de redes externas (de las cual usted NO tiene control).de diferentes tipos de redes externas (de las cual usted NO tiene control). El firewall controla la entrada y salida de trafico protegiendo su red deEl firewall controla la entrada y salida de trafico protegiendo su red de intromisiones indeseadas.intromisiones indeseadas. La función del firewall es ser una sólida barrera entre su red y el mundoLa función del firewall es ser una sólida barrera entre su red y el mundo exterior. Este permite habilitar el acceso a usuarios y servicios aprobadosexterior. Este permite habilitar el acceso a usuarios y servicios aprobados..
  • 21. AUDITORIA DE LA SEGURIDAD ENAUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDESCOMUNICACIONES Y REDES Algunos puntos complementarios a revisar son:  Tipos de redes y conexiones.  Información y programas transmitidos, y uso de cifrado.  Tipos de transacciones.  Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno.  Protección de transmisiones por fax si el contenido está clasificado.  Protección de conversaciones de voz .  Transferencia de ficheros y controles existentes.
  • 22. AUDITORIA DE LA CONTINUIDAD DE LASAUDITORIA DE LA CONTINUIDAD DE LAS OPERACIONESOPERACIONES  Revisar si existe el Plan de Contingencia o Plan de Continuidad; si es completo y actualizado, si cubre procesos, áreas y plataformas.  Evaluar los resultados de las pruebas que se hayan realizado.  Si las revisiones no aportan garantías suficientes, se debe sugerir pruebas complementarias o hacerlo constar en el informe.  Revisar la existencia de copias actualizadas de los recursos vitales en un lugar distante y en condiciones adecuadas
  • 23. Evaluación de la Seguridad Física yEvaluación de la Seguridad Física y LógicaLógica
  • 24. Consola del Operador.Consola del Operador. La mayoría de las consolas de operadorLa mayoría de las consolas de operador no tienen controles fuertes de accesono tienen controles fuertes de acceso lógico y proveen un alto nivel de accesológico y proveen un alto nivel de acceso al sistema de la computadora; por loal sistema de la computadora; por lo tanto, la terminal debe estar ubicada entanto, la terminal debe estar ubicada en un área asegurada físicamente.un área asegurada físicamente. Vías de Acceso LógicoVías de Acceso Lógico El acceso lógico a la computadora puede obtenerse a través deEl acceso lógico a la computadora puede obtenerse a través de diversas vías. Cada vía está sujeta a niveles apropiados dediversas vías. Cada vía está sujeta a niveles apropiados de seguridad de acceso. Los métodos de acceso incluyen losseguridad de acceso. Los métodos de acceso incluyen los siguientes:siguientes: Aspectos a ConsiderarAspectos a Considerar
  • 25. Terminales en Línea.Terminales en Línea. Las computadoras personales (PCs) se usan a menudo comoLas computadoras personales (PCs) se usan a menudo como terminales de acceso en línea a través de un software de emulación determinales de acceso en línea a través de un software de emulación de terminal. Esto plantea un riesgo particular ya que las PCs pueden serterminal. Esto plantea un riesgo particular ya que las PCs pueden ser programadas para almacenar y para recordar al usuario los códigos deprogramadas para almacenar y para recordar al usuario los códigos de acceso y las contraseñas.acceso y las contraseñas. Procesamiento de Trabajos en Lote.Procesamiento de Trabajos en Lote. La seguridad se logra restringiendo las personas que pueden acumularLa seguridad se logra restringiendo las personas que pueden acumular transacciones (funcionarios de ingreso de datos) y las personas quetransacciones (funcionarios de ingreso de datos) y las personas que pueden iniciar el procesamiento de los lotes (los operadores depueden iniciar el procesamiento de los lotes (los operadores de computadora o el sistema automático de cronogramas de trabajo).computadora o el sistema automático de cronogramas de trabajo). Además, se deben controlar cuidadosamente los procedimientos y/oAdemás, se deben controlar cuidadosamente los procedimientos y/o las autorizaciones para manipular las transacciones acumuladas anteslas autorizaciones para manipular las transacciones acumuladas antes de procesar el lote.de procesar el lote.
  • 26. Puertos de Llamada.Puertos de Llamada. Se logra la seguridad proporcionando un medio para identificar elSe logra la seguridad proporcionando un medio para identificar el usuario remoto a fin de determinar la autorización de acceso.usuario remoto a fin de determinar la autorización de acceso. EstoEsto puede ser una línea de rellamada, el uso de número de usuario de iniciopuede ser una línea de rellamada, el uso de número de usuario de inicio de sesión y un software de control de acceso o puede requerir que unde sesión y un software de control de acceso o puede requerir que un operador de computadora verifique la identidad del que llama y luegooperador de computadora verifique la identidad del que llama y luego suministre la conexión a la computadora.suministre la conexión a la computadora.  Archivos de Datos.Archivos de Datos. Hubo un tiempo en que se creía que los virus no podían infectar losHubo un tiempo en que se creía que los virus no podían infectar los archivos de datos, pero recientemente se ha escrito que los virusarchivos de datos, pero recientemente se ha escrito que los virus también infectan los archivos de datos. Los virus pueden diseminarsetambién infectan los archivos de datos. Los virus pueden diseminarse rápidamente en toda una red de área local (LANrápidamente en toda una red de área local (LAN).).
  • 27. Software de Control de Acceso.Software de Control de Acceso. El software de control de acceso está diseñado para prevenir el accesoEl software de control de acceso está diseñado para prevenir el acceso no autorizado a los datos, el uso de las funciones y de los programas deno autorizado a los datos, el uso de las funciones y de los programas de sistema, actualizaciones /cambios no autorizados a los datos y detectarsistema, actualizaciones /cambios no autorizados a los datos y detectar o impedir un intento no autorizado de entrar a los recursos de lao impedir un intento no autorizado de entrar a los recursos de la computadora. El software de control de acceso interactúa con el sistemacomputadora. El software de control de acceso interactúa con el sistema operativo y actúa como un control central para todas las decisiones deoperativo y actúa como un control central para todas las decisiones de seguridad.seguridad. SERVIDOR CLIENTE
  • 28. Propiedad de los Datos.Propiedad de los Datos. El Auditor deEl Auditor de TITI puede usar esta información para determinar si dichapuede usar esta información para determinar si dicha propiedad se ha asignado a la persona correcta.propiedad se ha asignado a la persona correcta. EEl Auditor del Auditor de TITI puede determinar si ellos están conscientes de laspuede determinar si ellos están conscientes de las responsabilidades implícitas en la propiedad de los datos.responsabilidades implícitas en la propiedad de los datos. El Auditor deEl Auditor de TITI debe también revisar un muestra de descripciones dedebe también revisar un muestra de descripciones de puestos de trabajo para asegurar que las responsabilidades y funcionespuestos de trabajo para asegurar que las responsabilidades y funciones sean consistentes con la política de seguridad de la información.sean consistentes con la política de seguridad de la información. El auditor debe revisar la clasificación de los datos y evaluar si la mismaEl auditor debe revisar la clasificación de los datos y evaluar si la misma es la adecuada en la medida que se relaciona con el área que está enes la adecuada en la medida que se relaciona con el área que está en revisión.revisión. Aspectos a ConsiderarAspectos a Considerar
  • 29. Los Propietarios de los DatosLos Propietarios de los Datos Sus responsabilidades de seguridad incluyen autorizar el accesoSus responsabilidades de seguridad incluyen autorizar el acceso.. AAsegurar que estén actualizadas las reglas de acceso cuando ocurransegurar que estén actualizadas las reglas de acceso cuando ocurran cambios de personalcambios de personal.. IInventariar periódicamente las reglas de acceso para los datos de losnventariar periódicamente las reglas de acceso para los datos de los que son responsables.que son responsables. Administrador de Seguridad.Administrador de Seguridad. Los administradores de seguridad son responsables de proveer laLos administradores de seguridad son responsables de proveer la seguridad física y lógica adecuada para los programas de ISseguridad física y lógica adecuada para los programas de IS.. LLa política de seguridad de información proveerá las directricesa política de seguridad de información proveerá las directrices básicos bajo los cuales operará el administrador de seguridad.básicos bajo los cuales operará el administrador de seguridad.
  • 30. Los Usuarios de Datos.Los Usuarios de Datos. Sus niveles de acceso a la computadora deben ser autorizados porSus niveles de acceso a la computadora deben ser autorizados por los propietarios de datos y deben ser restringidos y monitoreados por ellos propietarios de datos y deben ser restringidos y monitoreados por el administrador de seguridad.administrador de seguridad. Autorizaciones Documentadas.Autorizaciones Documentadas. El acceso a los datos debe identificarse y ser autorizado por escrito.El acceso a los datos debe identificarse y ser autorizado por escrito. El Auditor deEl Auditor de TITI puede revisar una muestra de estas autorizacionespuede revisar una muestra de estas autorizaciones para determinar si se proveyó el nivel apropiado de autoridad porpara determinar si se proveyó el nivel apropiado de autoridad por escritoescrito..
  • 31. Normas de Acceso.Normas de Acceso. El Auditor de ÍS debe revisar las normas de acceso para asegurar queEl Auditor de ÍS debe revisar las normas de acceso para asegurar que las mismas cumplan con los objetivos de la organizaciónlas mismas cumplan con los objetivos de la organización.. QQue cumplue cumplaan con los requerimientos de las políticas para minimizar eln con los requerimientos de las políticas para minimizar el riesgo de acceso no autorizado.riesgo de acceso no autorizado. Revisión de las políticas, los procedimientos y las normas escritasRevisión de las políticas, los procedimientos y las normas escritas El Auditor deEl Auditor de TITI debe revisar las políticas y los procedimientos paradebe revisar las políticas y los procedimientos para determinar si los mismos fijan las pautas para la debida seguridad ydeterminar si los mismos fijan las pautas para la debida seguridad y proveen un medio para asignar la responsabilidad del mantenimiento deproveen un medio para asignar la responsabilidad del mantenimiento de un ambiente seguro de procesamiento de computadoraun ambiente seguro de procesamiento de computadora..
  • 32. Política de PasswoardPolítica de Passwoard:: Políticas de Seguridad de Acceso LógicoPolíticas de Seguridad de Acceso Lógico Estas pEstas políticasolíticas deben estimular la limitación del acceso lógico adeben estimular la limitación del acceso lógico a una base de necesidad de saber. Ellas deben estimar de manerauna base de necesidad de saber. Ellas deben estimar de manera razonable la exposición a las preocupaciones identificadas.razonable la exposición a las preocupaciones identificadas. Conciencia y Entrenamiento Formal en SeguridadConciencia y Entrenamiento Formal en Seguridad Promover la conciencia de la seguridad es un control preventivo. APromover la conciencia de la seguridad es un control preventivo. A través de este proceso, los empleados se dan cuenta de sustravés de este proceso, los empleados se dan cuenta de sus responsabilidades de mantener una buena seguridad física yresponsabilidades de mantener una buena seguridad física y lógica.lógica. EEl Auditor del Auditor de TITI debe entrevistar una muestra representativadebe entrevistar una muestra representativa de empleados para determinar su conciencia de la seguridad.de empleados para determinar su conciencia de la seguridad.
  • 33. Alcance de la Auditoria a la Seguridad LógicaAlcance de la Auditoria a la Seguridad Lógica 1.1. Manejo de las Medidas de Seguridad.Manejo de las Medidas de Seguridad. 2.2. Identificación, Autenticación y Acceso.Identificación, Autenticación y Acceso. 3.3. Seguridad de Acceso a Datos en Línea.Seguridad de Acceso a Datos en Línea. 4.4. Administración de Cuentas de Usuario.Administración de Cuentas de Usuario. 5.5. Revisión Gerencial de Cuentas de Usuario.Revisión Gerencial de Cuentas de Usuario. 6.6. Control de Usuario de las Cuentas de Usuario.Control de Usuario de las Cuentas de Usuario. 7.7. Clasificación de Datos.Clasificación de Datos. 8.8. Administración Centralizada de Identificación y Derechos de Acceso.Administración Centralizada de Identificación y Derechos de Acceso. 9.9. Reportes de Actividades de Violación y Seguridad.Reportes de Actividades de Violación y Seguridad. 10.10. Manejo de IncidentesManejo de Incidentes.. 11.11. Autorización de Transacción.Autorización de Transacción.
  • 34.  Se cuenta con un plan de seguridad estratégicoSe cuenta con un plan de seguridad estratégico  Se cuenta con una organización de seguridad centralizadaSe cuenta con una organización de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos delresponsable de asegurar el acceso apropiado a los recursos del sistema.sistema.  Se cuenta con un esquema de clasificación de datos enSe cuenta con un esquema de clasificación de datos en operación que indique todos los recursos del sistemaoperación que indique todos los recursos del sistema..  Se cuenta con perfiles de seguridad de usuario que muestrenSe cuenta con perfiles de seguridad de usuario que muestren revisiones regulares con fines de reacreditación.revisiones regulares con fines de reacreditación. Existen políticas y procedimientos para:Existen políticas y procedimientos para: ConsiderandConsiderand oo
  • 35. La función de servicios de información cumple con los estándares deLa función de servicios de información cumple con los estándares de seguridad relacionados con:seguridad relacionados con: · Autenticación y acceso.· Autenticación y acceso. · Administración de clasificación de perfiles de usuario y seguridad de· Administración de clasificación de perfiles de usuario y seguridad de datos.datos. · Reportes y revisión gerencial de la violación e incidentes de seguridad.· Reportes y revisión gerencial de la violación e incidentes de seguridad. · Estándares criptográficos administrativos clave.· Estándares criptográficos administrativos clave. · Detección de virus, solución y comunicación.· Detección de virus, solución y comunicación. · Clasificación y propiedad de datos.· Clasificación y propiedad de datos. Probando que:Probando que:
  • 36. Llevando a CaboLlevando a Cabo:: Una revisión detallada de la seguridad de los sistemas de información,Una revisión detallada de la seguridad de los sistemas de información, incluyendo evaluaciones de penetración de la seguridad, física y lógicaincluyendo evaluaciones de penetración de la seguridad, física y lógica de los recursos computacionales, de comunicación, etc.de los recursos computacionales, de comunicación, etc. Entrevistas a los nuevos empleados para asegurar el conocimiento y laEntrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las responsabilidadesconciencia en cuanto a seguridad y en cuanto a las responsabilidades individualesindividuales.. Entrevistas a usuarios para asegurar que el acceso está determinadoEntrevistas a usuarios para asegurar que el acceso está determinado tomando como base la necesidad y que la precisión de dicho acceso estomando como base la necesidad y que la precisión de dicho acceso es revisada regularmente por la gerencia.revisada regularmente por la gerencia.
  • 37. IdentificandoIdentificando:: Accesos inapropiados por parte de los usuarios a los recursos delAccesos inapropiados por parte de los usuarios a los recursos del sistema.sistema. Requisiciones informales o no aprobadas de acceso a los recursosRequisiciones informales o no aprobadas de acceso a los recursos del sistemadel sistema ssoftware de monitoreo de redes que no indique a laoftware de monitoreo de redes que no indique a la administración de redes las violaciones a la seguridad.administración de redes las violaciones a la seguridad. Defectos en los procedimientos de control de cambios del softwareDefectos en los procedimientos de control de cambios del software de redes.de redes. La falta de software actualizado para la detección de virus o deLa falta de software actualizado para la detección de virus o de procedimientos formales para prevenir, detectar, corregir y comunicarprocedimientos formales para prevenir, detectar, corregir y comunicar contaminacionescontaminaciones..
  • 38. 1.1. Seguridad FísicaSeguridad Física 2.2. Bajo Perfil de las Instalaciones de Tecnología de InformaciónBajo Perfil de las Instalaciones de Tecnología de Información 3.3. Escolta de VisitantesEscolta de Visitantes 4.4. Salud y Seguridad del PersonalSalud y Seguridad del Personal 5.5. Protección contra Factores AmbientalesProtección contra Factores Ambientales 6.6. Suministro Ininterrumpido de EnergíaSuministro Ininterrumpido de Energía Alcance de la Auditoria a la Seguridad FísicaAlcance de la Auditoria a la Seguridad Física
  • 39. •• Entrada no autorizadaEntrada no autorizada •• Daño, vandalismo o robo a los equipos o a los documentosDaño, vandalismo o robo a los equipos o a los documentos •• Copia o visualización de información sensiCopia o visualización de información sensibleble o patentadao patentada •• Alteración de equipos e información sensiAlteración de equipos e información sensiblebless •• Revelación al público de información sensiRevelación al público de información sensibleble •• Abuso de los recursos de procesamiento de datosAbuso de los recursos de procesamiento de datos •• ChantajeChantaje •• FraudeFraude Problemas y exposiciones de Acceso FísicoProblemas y exposiciones de Acceso Físico
  • 40. Posibles PerpetradoresPosibles Perpetradores LosLos empleadosempleados que tienen acceso autorizado o no autorizado que están:que tienen acceso autorizado o no autorizado que están: •• Descontentos (irritados o preocupados por alguna acción emprendida porDescontentos (irritados o preocupados por alguna acción emprendida por la organización o por la gerencia de ésta)la organización o por la gerencia de ésta) •• En huelgaEn huelga •• Amenazados con una acción disciplinaria o con despidoAmenazados con una acción disciplinaria o con despido •• Se les haya notificado su despidoSe les haya notificado su despido •• Personas ajenas interesadas o informadas, como por ejemplo losPersonas ajenas interesadas o informadas, como por ejemplo los competidores, ladrones, el crimen organizado y los intrusoscompetidores, ladrones, el crimen organizado y los intrusos.. •• El ignorante accidental - una persona que sin saberlo, comete unaEl ignorante accidental - una persona que sin saberlo, comete una violación (podría ser un empleado o una persona ajena).violación (podría ser un empleado o una persona ajena).
  • 41. ** Otras preguntas y preocupaciones para considerar incluyen lasOtras preguntas y preocupaciones para considerar incluyen las siguientes:siguientes: •• ¿Las instalaciones de hardware están razonablemente protegidas¿Las instalaciones de hardware están razonablemente protegidas contra las entradas forzadas?contra las entradas forzadas? •• ¿Las llaves de las instalaciones de computadoras están controladas¿Las llaves de las instalaciones de computadoras están controladas de una forma adecuada para reducir el riesgo de un acceso node una forma adecuada para reducir el riesgo de un acceso no autorizado?autorizado? •• ¿Están las terminales inteligentes de computadoras cerradas con llave¿Están las terminales inteligentes de computadoras cerradas con llave o de otro modo aseguradas para impedir que se lleven las tarjetas, loso de otro modo aseguradas para impedir que se lleven las tarjetas, los chips y la computadora misma?chips y la computadora misma? •• ¿Se requieren pases autorizados de los equipos antes de que los¿Se requieren pases autorizados de los equipos antes de que los equipos de computadora sean sacados de sus áreas normales seguras?equipos de computadora sean sacados de sus áreas normales seguras?
  • 42. Desde el punto de vista deDesde el punto de vista de TITI, las instalaciones que deben ser, las instalaciones que deben ser protegidas incluyen las siguientes:protegidas incluyen las siguientes: •• El área de programaciónEl área de programación •• La sala de computadorasLa sala de computadoras •• Las consolas y terminales del OperadorLas consolas y terminales del Operador •• Biblioteca de cintas, cintas, discos y todos los mediosBiblioteca de cintas, cintas, discos y todos los medios magnéticosmagnéticos •• Salas de almacenamiento y suministrosSalas de almacenamiento y suministros •• Sala de control de Entrada/ SalidaSala de control de Entrada/ Salida •• ArmariosArmarios de comunicacionesde comunicaciones
  • 43. Auditoria al Acceso FísicoAuditoria al Acceso Físico En este recorrido se debe incluir la instalación de procesamiento deEn este recorrido se debe incluir la instalación de procesamiento de informacióninformación.. Ubicación de todas las consolas de operadorUbicación de todas las consolas de operador Salas de impresiónSalas de impresión Salas de almacenamiento de computadorasSalas de almacenamiento de computadoras.. UPS/GeneradorUPS/Generador Ubicación de todos los equipos de comunicacionesUbicación de todos los equipos de comunicaciones identificados enidentificados en el diagrama de redel diagrama de red Biblioteca de cintas.Biblioteca de cintas. PC PC
  • 44. Seguridad FísicaSeguridad Física Controles de Acceso FísicoControles de Acceso Físico Los controles de acceso físico están diseñados para proteger laLos controles de acceso físico están diseñados para proteger la organización contra los accesos no autorizadosorganización contra los accesos no autorizados.. AlAlgunos de los controles de acceso más comunes:gunos de los controles de acceso más comunes:  Cerraduras, de Puerta de CerrojoCerraduras, de Puerta de Cerrojo..  Cerraduras de Puerta de CombinaciónCerraduras de Puerta de Combinación..  Cerraduras Electrónicas de PuertasCerraduras Electrónicas de Puertas..  Cerraduras Biométricas de PuertasCerraduras Biométricas de Puertas..  Bitácora ManualBitácora Manual..  Bitácora ElectrónicaBitácora Electrónica..
  • 45. AAuditando lauditando la SSeguridad de laeguridad de la IInfraestructura denfraestructura de lala RReded Revisión de los Diagramas de la RedRevisión de los Diagramas de la Red IIdentifican las conexiones de telecomunicación entre la computadora,dentifican las conexiones de telecomunicación entre la computadora, las terminales y los dispositivos periféricoslas terminales y los dispositivos periféricos.. La Seguridad del Acceso RemotoLa Seguridad del Acceso Remoto ElEl acceso remoto debe estar documentado y deben implementarseacceso remoto debe estar documentado y deben implementarse para los usuarios autorizados fuera del ambiente de redpara los usuarios autorizados fuera del ambiente de red..
  • 46. Los controles de seguridad delLos controles de seguridad del ACCESO REMOTOACCESO REMOTO deben estardeben estar documentados y deben implementarse para los usuarios autorizadosdocumentados y deben implementarse para los usuarios autorizados fuera del ambiente de red en el que se confía.fuera del ambiente de red en el que se confía. •• El fírewaEl fírewalll debe negar implícitamente los servicios con excepción del debe negar implícitamente los servicios con excepción de los que estén permitidos explícitamente.los que estén permitidos explícitamente. •• El firewaEl firewalll debe poder filtrar el acceso de llamadas de entrada.l debe poder filtrar el acceso de llamadas de entrada. •• Si el fírewaSi el fírewalll usa un sistema operativo, éste debe ser seguro.l usa un sistema operativo, éste debe ser seguro. •• La fortaleza del fírewaLa fortaleza del fírewalll y la validez de su funcionalidad y losl y la validez de su funcionalidad y los parámetros deben poder ser verificadosparámetros deben poder ser verificados
  • 48. Política de SeguridadPolítica de Seguridad  Clasificación de la Información (Sensible, Confidencial, Interna y Pública) y su destrucción (non-disclosure).  Evaluación de riesgos o Risk Assessment (confidencialidad, integridad, criticidad).  Gestión de Recursos Humanos alineados a la política y programa de entrenamiento.  Gestión y control de servicios de “outsourcing”.  Controles operativos y perfiles (integridad de la info.).  Controles de acceso y uso de todos los recursos.  Gestión de antivirus, patches y fixes.  Incidentes de seguridad a ser controlados, manejo y escalamiento de los mismos.  Metodología de revisión de seguridad y su aplicabilidad.
  • 49. Política de Seguridad ... Cont.Política de Seguridad ... Cont.  Integridad, almacenamiento y recuperación del software, Control de Cambios (desarrollo, testeo y producción).  Estándares de desarrollo, diseño e implementación de web.  Seguridad y arquitectura de la red interna-externa y administración remota, uso del mail.  Seguridad de las estaciones de trabajo y del área.  Configuración de seguridad del software de base (S.O., DBMS).  Políticas y procedimientos para el manejo de backups y documentación.  Logs de seguridad y transaccionales (frecuencia).  Medidas de seguridad física.  Políticas y procedimientos para el manejo de contingencia (Continuidad de negocios).
  • 50. PROTECCION DE LAPROTECCION DE LA INFORMACIONINFORMACION
  • 52. Valor de los Recursos y la Información aValor de los Recursos y la Información a ProtegerProteger La seguridad debe ser una de las prioridades de la Dirección deLa seguridad debe ser una de las prioridades de la Dirección de Tecnologías de Información. ÉTecnologías de Información. Ésta se divide en cinco etapas:sta se divide en cinco etapas: 1.1. Planeación de las necesidades de seguridad.Planeación de las necesidades de seguridad. 2.2. Análisis de riesgos.Análisis de riesgos. 3.3. Análisis de costo-beneficio.Análisis de costo-beneficio. 4.4. Creación de políticas que reflejen las necesidades.Creación de políticas que reflejen las necesidades. 5.5. Implementación.Implementación.
  • 53. PPrincipios de Importancia Fundamentalrincipios de Importancia Fundamental:: • Concienciación sobre seguridad y políticas debe de ir de arribaConcienciación sobre seguridad y políticas debe de ir de arriba hacia abajo en una organizaciónhacia abajo en una organización.. • La seguridad efectiva quiere decir proteger la información.La seguridad efectiva quiere decir proteger la información. Todos los planes, políticas y procedimientos deben reflejar laTodos los planes, políticas y procedimientos deben reflejar la necesidad de protegernecesidad de proteger sus manifestacionessus manifestaciones
  • 54. Implantación de Medidas de SeguridadImplantación de Medidas de Seguridad 1.1. Planeación de las Necesidades de SeguridadPlaneación de las Necesidades de Seguridad Se tiene que tomar en cuenta los siguientes tipos de necesidades, ySe tiene que tomar en cuenta los siguientes tipos de necesidades, y prioritizarlas de acuerdo al orden de importancia colocándolas enprioritizarlas de acuerdo al orden de importancia colocándolas en una tabla que refleje el tipo y la prioridad propuestauna tabla que refleje el tipo y la prioridad propuesta.. Confidencialidad.-Confidencialidad.- Proteger la información para que nadieProteger la información para que nadie pueda leerla o copiarlapueda leerla o copiarla.. Integridad de Datos.-Integridad de Datos.- Proteger la información (incluyendoProteger la información (incluyendo programas) para evitar que se borre o altere de cualquierprogramas) para evitar que se borre o altere de cualquier maneramanera..
  • 55. Disponibilidad.-Disponibilidad.-Proteger los servicios para que no seProteger los servicios para que no se degraden o dejen de estar disponibles sidegraden o dejen de estar disponibles si la consecuenciala consecuencia puede ser tan dañina como perder información que estépuede ser tan dañina como perder información que esté guardada en el sistemaguardada en el sistema.. Consistencia.-Consistencia.- Si los programas o el equipo repentinamenteSi los programas o el equipo repentinamente se comportan en forma distintase comportan en forma distinta en especial después de unaen especial después de una actualización o de la eliminación de un error, puede suceder unactualización o de la eliminación de un error, puede suceder un desastredesastre..  Control.- Reglamentar el acceso al sistema.Control.- Reglamentar el acceso al sistema.  Auditoria.- Si lAuditoria.- Si los usuarios autorizados a veces se equivocan,os usuarios autorizados a veces se equivocan, o cometen actos maliciososo cometen actos maliciosos,, es necesario determinar qué sees necesario determinar qué se hizo, quién lo hizo y qué fue afectado. La única forma de lograrhizo, quién lo hizo y qué fue afectado. La única forma de lograr esto es tener un registro inexpugnable de la actividad queesto es tener un registro inexpugnable de la actividad que sucede en el sistemasucede en el sistema..
  • 56. 2.2. Análisis de RiesgosAnálisis de Riesgos.. El análisis de riesgos es una parte muy importante del procesoEl análisis de riesgos es una parte muy importante del proceso de seguridad informática. No se puede proteger algo si no sede seguridad informática. No se puede proteger algo si no se sabe contra qué hay que protegerlo.sabe contra qué hay que protegerlo. Se cuenta con tres etapas para reducir los riesgos:Se cuenta con tres etapas para reducir los riesgos: a.a. Identificación de los activosIdentificación de los activos:: Se debe hacer una lista de todo lo que se quiere protegerSe debe hacer una lista de todo lo que se quiere proteger,, incluidosincluidos intangibles (capacidad de seguir operando, imagenintangibles (capacidad de seguir operando, imagen públicapública)). Para determinar si algo es valioso hay que pensar. Para determinar si algo es valioso hay que pensar en lo que costaría en pérdida de ingresos, tiempo perdido oen lo que costaría en pérdida de ingresos, tiempo perdido o costo de reparación o reemplazo.costo de reparación o reemplazo.
  • 57. b.b. Identificación AmenazasIdentificación Amenazas:: Algunas amenazas serán ambientales, como incendios,Algunas amenazas serán ambientales, como incendios, inundaciones, etc. Otras provienen del personal, alumnos yinundaciones, etc. Otras provienen del personal, alumnos y de extrañosde extraños.. c.c. Cálculo de los riesgosCálculo de los riesgos :: Cuando se han identificado los riesgos debe estimarse laCuando se han identificado los riesgos debe estimarse la probabilidad de que ocurra cada uno de ellos, se recomiendaprobabilidad de que ocurra cada uno de ellos, se recomienda considerar ocurrencias anualesconsiderar ocurrencias anuales..
  • 58. 3.3. Análisis de CAnálisis de Costo-osto-BBeneficioeneficio.. Al terminar el análisis de riesgos es necesario asignar un costo aAl terminar el análisis de riesgos es necesario asignar un costo a cada riesgo, y determinar el costo de eliminar el riesgo. Unacada riesgo, y determinar el costo de eliminar el riesgo. Una manera para calcular las pérdidas se toma el costo de reparar omanera para calcular las pérdidas se toma el costo de reparar o sustituir el objetosustituir el objeto..

Notas del editor

  1. <number>
  2. <number>