SlideShare una empresa de Scribd logo

Presentación auditoria y seguridad informática

J
Jaider Quintero

Este documento habla sobre conceptos básicos de seguridad informática como autenticación, integridad, confidencialidad, disponibilidad y control de acceso. También describe los objetivos de la seguridad informática, como diseñar estándares y minimizar riesgos. Además, explica elementos como políticas de seguridad, administración de riesgos, amenazas comunes como ataques informáticos y malware.

Salud y medicina
1 de 32
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología SEGURIDAD Y AUDITORÍA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología SEGURIDAD Y AUDITORIA INFORMÁTICA Concepto de Seguridad Informática: .Área de la Seguridad informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Garantizando que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos. Jeffrey l. Whiten (1997). La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Objetivos Diseñar una serie de estándares, protocolos, métodos, técnicas, reglas, herramientas y leyes concebidas para conseguir un sistema de información seguro y confiable . La seguridad informática está concebida para proteger los activos informáticos (infraestructura Computacional, Datos y Usuarios). Minimizar los posibles riesgos y amenazas a la infraestructura o a la información. Garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, Implementar un Política de Seguridad y Admón. de Riesgos SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología SEGURIDAD Y AUDITORIA INFORMÁTICA Política de Seguridad Plan de Seguridad Normas y Procedimientos Medidas Tecnológicas implantadas Formación y Mentalización
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Autenticación. Garantizar que quién solicita un acceso es quién dice ser: • Manejo de Passwords (Algo que se conoce) • Estáticos • Dinámicos (cambio periódico), • Reglas de Inducción (Algo que se sabe generar), • Token Cards, SmartCards (Algo que se tiene), • Biométricos (Algo propio de un ente). SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Integridad. Garantizar que la información es la misma de origen a destino: • Huella digital de los datos - Hash (Checksum), SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Confidencialidad. Garantizar que nadie pueda entender la información que fluye: • Software y Hardware (combinaciones), • Encripción Simétrica y Asimétrica, • DES, TripleDES, AES(Seleccionado RIJNDAEL),RSA. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Disponibilidad. Garantizar que los servicios estén activos en todo momento: • Plan de Continuidad: Planes de Contingencia, Operativa y Tecnológica, Pruebas Periódicas, Talleres Prácticos, Compromiso de los Clientes (Nivel de Acuerdo). SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Control de Acceso: Permitir que algo o alguien acceda sólo lo que le es permitido: •Políticas de Acceso, •Asociación usuarios y recursos, •Administración de recursos, o Periféricos, o Directorios, o Archivos, etc, o Horarios o Disponibilidad SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos No-Repudiación. Garantizar que quién genere un evento válidamente, no pueda retractarse: •Certificados Digitales, •Firmas Digitales, •Integridad, •No copias de la llave privada para firmar. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Política de Seguridad La política de seguridad en la organización debe incluir: • Alcance y ámbito de la Política de Seguridad. • Responsabilidades y Organización de la Seguridad de la Información • Establecimiento de Controles (Preventivos, defectivos y correctivos) • Seguridad del personal • Seguridad de los datos • Seguridad física • Seguridad en las comunicaciones • Control de los accesos a los sistemas de información • Mantenimiento de las aplicaciones: • Contingencia y Continuidad del negocio • Plan de auditorias SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Administración de Riesgos • Riesgo: Probabilidad de ocurrencia de un evento adverso (DOS). • Amenaza: Causante de un evento adverso (Virus). • Vulnerabilidad: Debilidad frente a una amenaza(No tener AntiVirus). • Incidente: Materialización de un riesgo • Impactos: Imagen, dinero, mercado, etc. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Amenazas y Tipos de Amenazas Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema. Tipos de Amenazas: SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de amenazas más comunes: • Ataques Informáticos • Robo de información. • Destrucción de información. • Anulación del funcionamiento de los sistemas o efectos que tiendan a ello. • Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc. • Robo de dinero, estafas • Daños a la Infraestructura por desastres naturales , intencionales y no intencionales( por falta de conocimiento) • Fallos electronicos SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de amenazas según su intensión: • Interrupción o denegación: Un recurso del sistema o de la red, deja de estar disponible, colapsar total o parcialmente a un servidor para que éste no pueda dar respuesta a los comandos. • Modificación: La información de la que se dispone, es modificada sin autorización y por lo tanto deja de ser válida. • Intercepción: El intruso accede a la información de nuestros equipos, o a la información que enviamos por la red. • Fabricación: Consiste en crear un producto que sea difícil de distinguir del autentico y que es utilizado para hacerse con la información confidencial de los usuarios. • repetición: ocurre cuando un pirata informático copia una secuencia de mensajes entre dos usuarios y envía tal secuencia a uno o más usuarios. • Diccionario: En este caso, el pirata informático obtiene distintos nombres de usuarios y con ellos, desde un ordenador, empieza a adivinar las contraseñas con base en palabras de diccionarios en distintos idiomas. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de ataques informáticos más comunes: Malware. Es el acrónimo, en inglés, de las palabras ‘malicious’ y ‘software’, por lo que se conoce como software malicioso. En este grupo se encuentran los virus clásicos. Virus. Es un programa informático creado para producir algún daño en el computador. Posee dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo Spam. Es el correo electrónico no deseado o correo basura, que se envía sin ser solicitado, de manera masiva, por parte de un tercero. Aunque en un principio se utilizaba para envío de publicidad, se ha visto un creciente uso con el fin de propagar códigos maliciosos. Spyware. Los programas espía son aplicaciones que recopilan información del usuario sin su consentimiento. Su objetivo más común es obtener datos sobre los hábitos de navegación o comportamiento en la web del usuario atacado y enviarlos a entes externo SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Phishing. Consiste en el robo de información personal y financiera del usuario, a través de la falsificación de un ente de confianza. El usuario recibe un correo electrónico simulando la identidad de una organización de confianza, por lo que este, al confiar en el remitente, envía sus datos directamente al atacante. Virus. Ingeniería social. Es una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema por medio de habilidades sociales. Adware. Programa malicioso que se instala en el computador sin que el usuario lo note, y cuya función es descargar y mostrar anuncios publicitarios en la pantalla de la víctima y disminuye el rendimiento del equipo y de la navegación por la Red ya que utiliza recursos del procesador, la memoria y el ancho de banda. Por lo general, el adware utiliza información recopilada por algún spyware para decidir qué publicidad mostrar. Botnets. Es una red de equipos infectados (robot o zombi) por códigos maliciosos, los cuales son controlados por un delicuente informático el cual, de manera remota, envía órdenes a los equipos zombis haciendo uso de sus recursos. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Gusanos. Son un sub-conjunto de malware. Su principal diferencia con los virus tradicionales es que no necesitan de un archivo anfitrión para seguir vivos, por lo que se reproducen utilizando diferentes medios como las redes locales o el correo electrónico. Troyanos. Su nombre proviene de la leyenda del caballo de Troya, pues se disfraza para engañar al usuario: Los archivos que simulan ser normales e indefensos, como pueden ser juegos o programas, provocan al usuario para que los ejecute y así logran instalarse en los sistemas. Scam. Es el nombre utilizado para las estafas a través de medios tecnológicos. Los medios utilizados por el scam son similares a los que utiliza el phishing, si bien su objetivo no es obtener datos sino lucrar de forma directa a través del engaño. Las técnicas más comunes son el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa. Rootkit. Son herramientas como programas, archivos, procesos, puertos o cualquier componente lógico diseñadas para mantener en forma encubierta el control de un computador. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de Atacantes: • Hackers: Son normalmente informáticos, que quieren descubrir vulnerabilidades de los sistemas por gusto, sin motivación económica ni dañina. • Crackers: Son las personas que rompen la seguridad del sistema con intención maliciosa, para dañarla u obtener beneficios económicos. • Sniffers: Son expertos en redes que analizan el trafico de la red, para obtener información extrayéndola de los paquetes que se transmiten por la red. • Ciberterrorista: Son expertos informáticos que trabajan para países u organizaciones como espías si saboteadores informáticos. • Programadores de virus: Estas personas deben ser expertos en programación redes y sistemas., que crean programas dañinos que afectan a aplicaciones y a sistemas. • Carders: Son personas que se dedican a ataques de sistemas de tarjetas como cajeros automáticos. • Pirata Informático: El que vende Software ilegal • Insider: Usuario Interno de la organización que hace daño SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Una auditoría informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de la infraestructura tecnológica y lo datos de una organización. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Concepto de Auditoria Informática: SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fases de la Auditoria Informática: Fase I: Conocimientos del Sistema Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. Características del Sistema Operativo.  Organigrama del área que participa en el sistema  Manual de funciones de las personas que participan en los procesos del sistema  Informes de auditoría realizadas anteriormente Características de la aplicación de computadora  Manual técnico de la aplicación del sistema  Funcionarios (usuarios) autorizados para administrar la aplicación  Equipos utilizados en la aplicación de computadora  Seguridad de la aplicación (claves de acceso)  Procedimientos para generación y almacenamiento de los archivos de la aplicación. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase II: Análisis de transacciones y recursos Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. Análisis de las transacciones • Establecer el flujo de los documentos En esta etapa se hace uso de los flujo gramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. Análisis de los recursos • Identificar y codificar los recursos que participan en el sistemas Relación entre transacciones y recursos SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase III: Análisis de riesgos y amenazas Identificación de riesgos • Daños físicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente, archivos o informes • Robo de dispositivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineficiencia de operaciones • Errores Identificación de las amenazas • Amenazas sobre los equipos: • Amenazas sobre documentos fuente • Amenazas sobre programas de aplicaciones Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase IV: Análisis de controles Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos. SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase V: Evaluación de Controles Objetivos de la evaluación • Verificar la existencia de los controles requeridos • Determinar la operatividad y suficiencia de los controles existentes Plan de pruebas de los controles • Incluye la selección del tipo de prueba a realizar. • Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. Pruebas de controles SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase VI: Informe de Auditoria Informe detallado de recomendaciones • Evaluación de las respuestas • Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. Introducción: objetivo y contenido del informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos Fase VII: Seguimiento de Recomendaciones Informes del seguimiento Evaluación de los controles implantados SEGURIDAD Y AUDITORIA INFORMÁTICA
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Según investigación realizada por Oscar Bernal-Acevedo y Juan Camilo Forero-Camacho sobre Sistemas de información en el sector salud en Colombia, el sector de la salud en Colombia cuenta con varios sistemas de información, los cuales frecuentemente no se encuentran integrados; esta situación ha llevado a una duplicación de esfuerzos para la generación de los reportes, y por tanto, a la baja calidad de la información recogida El Sistema de Vigilancia en Salud Pública (Sivigila) es un sistema de reporte de eventos de interés en salud pública, gestionado por el Instituto Nacional de Salud, que reporta especialmente patologías infecciosas, aunque recientemente se ha adicionado un módulo de mortalidad materna. El Ministerio de la Protección Social también cuenta con el Centro Nacional de Enlace, el cual utiliza principalmente la información producida por el Sivigila para reportar amenazas a la salud pública a organizaciones internacionales. La estrategia gubernamental en torno a las TIC en salud se centra en la implementación de telemedicina y del Sispro. Esta bodega de datos es gestionada por el Ministerio de la Protección Social e integra la información de salud, pensiones, riesgos profesionales, trabajo, empleo y asistencia social Componentes del sistema de información en salud
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Registro Único de Afiliados (Ruaf): maneja información de afiliación a todos los componentes de la protección social (salud, pensiones, riesgos profesionales, etc.). La información es reportada directamente por las administradoras al Ruaf, excepto salud que tiene un mecanismo de reporte diferente a través del Fondo de Solidaridad y Garantía (Fosyga). El Ruaf tiene un módulo llamado ND-Ruaf que registra la información de nacidos vivos y defunciones; este módulo es la fuente de información utilizada por el Departamento Nacional de Estadística (DANE) para la publicación de información poblacional Planilla Integrada de Liquidación de Aportes (PILA): la PILA es la base de datos que maneja información de empleo, cotizantes y aportantes a los diferentes módulos de la protección social Planilla Integrada de Liquidación de Aportes (PILA): la PILA es la base de datos que maneja información de empleo, cotizantes y aportantes a los diferentes módulos de la protección social Cuentas maestras: contiene información de la distribución de recursos del sistema general de participaciones. Componentes del sistema de información en salud
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Registro de personas con discapacidad: en esta base de datos se encuentran registradas personas con algún tipo de discapacidad que son reportadas por las gobernaciones. Esta base de datos tiene una baja cobertura, dada la dificultad para la identificación y el registro de ésta población Registro Individual de Prestación de Servicios (RIPS): recoge la información de los servicios de salud prestados en el país. Estos registros son generados por las IPS, las cuales los envían a la administradora correspondiente, la que a su vez los envía al Ministerio de Protección Social. En años anteriores han tenido algunos problemas de calidad y cobertura; sin embargo, desde 2009 se ha venido realizando un trabajo con las administradoras de planes de beneficios para mejorar la calidad y la cantidad de reportes. Vacunación: contiene información de vacunación enviada por las direcciones territoriales de salud. Hacia el futuro este módulo se plantea como un sistema de seguimiento para cada individuo vacunado, con el objeto de supervisar el cumplimiento de planes de vacunación. Sistema de Gestión de Hospitales Públicos (SIHO): recoge información de gestión, capacidad instalada y funcionamiento de los hospitales públicos. No tiene alta cobertura Registro Especial de Prestadores de Servicios (REPS): registra la información de los prestadores habilitados para la prestación de servicio. Es responsabilidad de los entes territoriales. Componentes del sistema de información en salud
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Para la planificación y desarrollo del sistema de información en salud debe partirse de la identificación de necesidades de información de los diferentes actores involucrados. Para el desarrollo del grupo de indicadores se deben tener en cuenta tres grandes divisiones: • Determinantes de la salud: aspectos socioeconómicos, ambientales, comportamentales y factores de riesgo. • Sistema de Salud: políticas de salud, aspectos organizacionales, recursos humanos y financieros, infraestructura, suministros, calidad, acceso, aseguramiento, etc. • Estado de salud: mortalidad, morbilidad, discapacidad, etc. La Organización Mundial de la Salud (OMS) recomienda 40 indicadores básicos en cinco aspectos: • Indicadores de mortalidad, • Indicadores de morbilidad, • Estadísticas de cubrimiento del sistema de salud, • Factores de riesgo, y • Estadísticas del sistema de salud. Necesidad de información e indicadores
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología El sistema de información debe soportarse en un marco jurídico y de principios de gobierno que lleven a su desarrollo. Hasta ahora, a pesar del contexto legal que define el funcionamiento, las instituciones no han tenido la fortaleza para hacer entrar en vigor lo contenido en la Ley. Un actuar organizacional orientado hacia la generación e intercambio de información es vital para el desarrollo de un sistema de información integral. Para lograr los objetivos y cumplir con los aspectos dispuestos por la Ley se deben desarrollar proyectos conjuntos que integren los datos de las diferentes organizaciones. El sistema de información en salud en Colombia, a pesar de ser una necesidad para la toma de decisiones informadas y el diseño de políticas, ha sido una de las grandes deficiencias del sector. Los planes gubernamentales no se han puesto en práctica y los proyectos que se están ejecutando para la implementación son muy recientes. Hay que aprovechar el momento de cambio para plantear y desarrollar un sistema que responda a las necesidades de información de los diferentes actores. En este contexto, se necesita una regulación gubernamental fuerte y efectiva, con un diseño y una aplicación adecuada de incentivos que lleven a un cambio organizacional, orientado hacia una cultura de información e interacción entre las diferentes organizaciones con intereses en el sector. Este cambio cultural es probablemente el mayor desafío del sistema de información en salud colombiano y el liderazgo es el factor clave de éxito en el proceso Recomendaciones
Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología El momento de cambio por el que está atravesando el sistema de salud colombiano representa una oportunidad para corregir los errores y debilidades del sistema de información en salud, capitalizándolos en la búsqueda de la interoperabilidad y mejoramiento de la calidad. El Gobierno es un actor clave para el desarrollo del sistema; debe ejercer un rol de liderazgo, mediante le definición de requisitos técnicos y operativos, a través de la expedición de normas pertinentes. La Ley 1438 de 2011 genera una carga adicional para el desarrollo del sistema, con la creación de nuevas instituciones que requieren grandes cantidades de información y la digitalización de historias clínicas, lo que significa un gran esfuerzo económico, técnico y operativo. Es esencial la toma de decisiones participativas y la definición de estándares, así como el diseño de incentivos que permitan la adopción de tecnologías de información pertinentes por parte de las organizaciones. Los sistemas de información de países con el mismo nivel de ingresos de Colombia muestran debilidades y fortalezas similares. Mediante la identificación de éstas se generan nuevas posibilidades de crecimiento y desarrollo del sistema de información nacional en salud. La estandarización y simplificación del mecanismo de captura de información es un paso clave para el mejoramiento de la cobertura y calidad de los reportes recogidos. Conclusiones

Recomendados

Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Jack Daniel Cáceres Meza
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
Fernando Alfonso Casas De la Torre
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
Fredy EC
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informatica
Leoner Parra
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorización
Denys Flores
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
adolfo1608
 

Recomendados

Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Jack Daniel Cáceres Meza
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
Fernando Alfonso Casas De la Torre
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
Fredy EC
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informatica
Leoner Parra
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorización
Denys Flores
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
adolfo1608
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Paola Yèpez
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)
Andreita Lissette
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
Yulder Bermeo
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
g_quero
 
Definicion de plataformas de software
Definicion de plataformas de softwareDefinicion de plataformas de software
Definicion de plataformas de software
monaco65
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
INSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
Manuel Medina
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informatica
estherbenaim
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Grupos
GruposGrupos
Grupos
Luis Asencio
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1
veronicamacuarisma
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
1426NA
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
MSc Aldo Valdez Alvarado
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
Ana Julieta Gonzalez Garcia
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
Hector Chajón
 
Odbc
OdbcOdbc
Odbc
carlos armando
 
Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.
Karen862494
 
Presentaciónbat03
Presentaciónbat03Presentaciónbat03
Presentaciónbat03
informaticarascanya
 

Más contenido relacionado

La actualidad más candente

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Paola Yèpez
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)
Andreita Lissette
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Definicion de plataformas de software
Definicion de plataformas de softwareDefinicion de plataformas de software
Definicion de plataformas de software
monaco65
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informatica
estherbenaim
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 

La actualidad más candente (20)

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
 
Definicion de plataformas de software
Definicion de plataformas de softwareDefinicion de plataformas de software
Definicion de plataformas de software
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informatica
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Grupos
GruposGrupos
Grupos
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Odbc
OdbcOdbc
Odbc
 

Similar a Presentación auditoria y seguridad informática

seguridad en informatica
seguridad en informaticaseguridad en informatica
seguridad en informatica
jorgeivantombe
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Alexader
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
pachiuss
 
Act6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufinoAct6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufino
guadalupegrande
 

Similar a Presentación auditoria y seguridad informática (20)

Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.
 
Presentaciónbat03
Presentaciónbat03Presentaciónbat03
Presentaciónbat03
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Power informática
Power informáticaPower informática
Power informática
 
Power informática
Power informáticaPower informática
Power informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad inf
 
Presentacion_1
Presentacion_1Presentacion_1
Presentacion_1
 
seguridad en informatica
seguridad en informaticaseguridad en informatica
seguridad en informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Seguridad informatica charlie
Seguridad informatica charlieSeguridad informatica charlie
Seguridad informatica charlie
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
 
Cuestionario
CuestionarioCuestionario
Cuestionario
 
Carlos cuestionario jhan pool, bryan
Carlos cuestionario jhan pool, bryanCarlos cuestionario jhan pool, bryan
Carlos cuestionario jhan pool, bryan
 
Seguridad
SeguridadSeguridad
Seguridad
 
Act6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufinoAct6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufino
 
Unidad 1
Unidad 1Unidad 1
Unidad 1
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 

Más de Jaider Quintero

Más de Jaider Quintero (8)

creatividad e innovacion sesion iii
creatividad e innovacion sesion iiicreatividad e innovacion sesion iii
creatividad e innovacion sesion iii
 
creatividad e innovacion sesion ii
creatividad e innovacion sesion iicreatividad e innovacion sesion ii
creatividad e innovacion sesion ii
 
Creatividad e Innovacion - sesion iv
Creatividad e Innovacion - sesion ivCreatividad e Innovacion - sesion iv
Creatividad e Innovacion - sesion iv
 
Creatividad e Innovacion - sesion i
Creatividad e Innovacion - sesion iCreatividad e Innovacion - sesion i
Creatividad e Innovacion - sesion i
 
Web 2,0 - MF 2018 I SEM
Web 2,0 - MF 2018 I SEMWeb 2,0 - MF 2018 I SEM
Web 2,0 - MF 2018 I SEM
 
Seminario i 2008
Seminario i 2008Seminario i 2008
Seminario i 2008
 
WEB 2.0
WEB 2.0WEB 2.0
WEB 2.0
 
Presentación ponencia cartagena
Presentación ponencia cartagenaPresentación ponencia cartagena
Presentación ponencia cartagena
 

Último

Grupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdf
Grupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdfGrupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdf
Grupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdf
VanesaFabiolaBermude
 
"Enfoques integrales y prácticas innovadoras en puericultura para garantizar ...
"Enfoques integrales y prácticas innovadoras en puericultura para garantizar ..."Enfoques integrales y prácticas innovadoras en puericultura para garantizar ...
"Enfoques integrales y prácticas innovadoras en puericultura para garantizar ...
FtimaZamora5
 
Introduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptx
Introduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptxIntroduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptx
Introduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptx
PaulDavidZulaRiofrio1
 
Jornada investigación e innovación en procesos de gestión hospitalaria
Jornada investigación e innovación en procesos de gestión hospitalariaJornada investigación e innovación en procesos de gestión hospitalaria
Jornada investigación e innovación en procesos de gestión hospitalaria
Safor Salut
 
(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx
(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx
(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx
UDMAFyC SECTOR ZARAGOZA II
 

Último (20)

IA, la clave de la genomica (May 2024).pdf
IA, la clave de la genomica (May 2024).pdfIA, la clave de la genomica (May 2024).pdf
IA, la clave de la genomica (May 2024).pdf
 
Traumatismo Craneoencefalitoc, HEC, meningitis, Sx comatoso
Traumatismo Craneoencefalitoc, HEC, meningitis, Sx comatosoTraumatismo Craneoencefalitoc, HEC, meningitis, Sx comatoso
Traumatismo Craneoencefalitoc, HEC, meningitis, Sx comatoso
 
Suculentas y sus cuidados, tipos y beneficios
Suculentas y sus cuidados, tipos y beneficiosSuculentas y sus cuidados, tipos y beneficios
Suculentas y sus cuidados, tipos y beneficios
 
Antihipertensivos 2024 IECAS , ARA, betabloqueantes
Antihipertensivos 2024 IECAS , ARA, betabloqueantesAntihipertensivos 2024 IECAS , ARA, betabloqueantes
Antihipertensivos 2024 IECAS , ARA, betabloqueantes
 
Grupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdf
Grupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdfGrupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdf
Grupo 1 PRESENTACIONES- Clasificación de los Microorganismos..pdf
 
Anamnesis Alimentaria-Nutricional individual.pptx
Anamnesis Alimentaria-Nutricional individual.pptxAnamnesis Alimentaria-Nutricional individual.pptx
Anamnesis Alimentaria-Nutricional individual.pptx
 
"Enfoques integrales y prácticas innovadoras en puericultura para garantizar ...
"Enfoques integrales y prácticas innovadoras en puericultura para garantizar ..."Enfoques integrales y prácticas innovadoras en puericultura para garantizar ...
"Enfoques integrales y prácticas innovadoras en puericultura para garantizar ...
 
TdR Monitor Nacional SISCOSSR VIH Colombia
TdR Monitor Nacional SISCOSSR VIH ColombiaTdR Monitor Nacional SISCOSSR VIH Colombia
TdR Monitor Nacional SISCOSSR VIH Colombia
 
Síndrome metabólico: 2024 consecuencias.
Síndrome metabólico: 2024 consecuencias.Síndrome metabólico: 2024 consecuencias.
Síndrome metabólico: 2024 consecuencias.
 
Identificación del paciente con alto riesgo tras SCA reciente
Identificación del paciente con alto riesgo tras SCA recienteIdentificación del paciente con alto riesgo tras SCA reciente
Identificación del paciente con alto riesgo tras SCA reciente
 
conocimiento en la cobertura de los medicamentos e insumos del plan de benefi...
conocimiento en la cobertura de los medicamentos e insumos del plan de benefi...conocimiento en la cobertura de los medicamentos e insumos del plan de benefi...
conocimiento en la cobertura de los medicamentos e insumos del plan de benefi...
 
Historia de la Salud Publica Peruana.pptx
Historia de la Salud Publica Peruana.pptxHistoria de la Salud Publica Peruana.pptx
Historia de la Salud Publica Peruana.pptx
 
TdR Profesional en Estadística VIH Colombia
TdR Profesional en Estadística VIH ColombiaTdR Profesional en Estadística VIH Colombia
TdR Profesional en Estadística VIH Colombia
 
Introduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptx
Introduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptxIntroduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptx
Introduccion-a-las-Funciones-Esenciales-de-Salud-Publica-FESP (1).pptx
 
La sociedad del cansancio Segunda edicion ampliada (Pensamiento Herder) (Byun...
La sociedad del cansancio Segunda edicion ampliada (Pensamiento Herder) (Byun...La sociedad del cansancio Segunda edicion ampliada (Pensamiento Herder) (Byun...
La sociedad del cansancio Segunda edicion ampliada (Pensamiento Herder) (Byun...
 
Pòster "La vivencia subjectiva de los usuarios que forman parte del programa ...
Pòster "La vivencia subjectiva de los usuarios que forman parte del programa ...Pòster "La vivencia subjectiva de los usuarios que forman parte del programa ...
Pòster "La vivencia subjectiva de los usuarios que forman parte del programa ...
 
Convocatoria Profesional en Ingenieria SISCOSSR
Convocatoria Profesional en Ingenieria SISCOSSRConvocatoria Profesional en Ingenieria SISCOSSR
Convocatoria Profesional en Ingenieria SISCOSSR
 
Jornada investigación e innovación en procesos de gestión hospitalaria
Jornada investigación e innovación en procesos de gestión hospitalariaJornada investigación e innovación en procesos de gestión hospitalaria
Jornada investigación e innovación en procesos de gestión hospitalaria
 
(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx
(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx
(23-06-24) Rango, poder y privilegios en la consulta médica (doc).docx
 
Catálogo de Productos HGW en El Salvador.
Catálogo de Productos HGW en El Salvador.Catálogo de Productos HGW en El Salvador.
Catálogo de Productos HGW en El Salvador.
 

Presentación auditoria y seguridad informática

  • 1. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología SEGURIDAD Y AUDITORÍA INFORMÁTICA
  • 2. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología SEGURIDAD Y AUDITORIA INFORMÁTICA Concepto de Seguridad Informática: .Área de la Seguridad informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Garantizando que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos. Jeffrey l. Whiten (1997). La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada
  • 3. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Objetivos Diseñar una serie de estándares, protocolos, métodos, técnicas, reglas, herramientas y leyes concebidas para conseguir un sistema de información seguro y confiable . La seguridad informática está concebida para proteger los activos informáticos (infraestructura Computacional, Datos y Usuarios). Minimizar los posibles riesgos y amenazas a la infraestructura o a la información. Garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, Implementar un Política de Seguridad y Admón. de Riesgos SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 4. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología SEGURIDAD Y AUDITORIA INFORMÁTICA Política de Seguridad Plan de Seguridad Normas y Procedimientos Medidas Tecnológicas implantadas Formación y Mentalización
  • 5. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Autenticación. Garantizar que quién solicita un acceso es quién dice ser: • Manejo de Passwords (Algo que se conoce) • Estáticos • Dinámicos (cambio periódico), • Reglas de Inducción (Algo que se sabe generar), • Token Cards, SmartCards (Algo que se tiene), • Biométricos (Algo propio de un ente). SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 6. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Integridad. Garantizar que la información es la misma de origen a destino: • Huella digital de los datos - Hash (Checksum), SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 7. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Confidencialidad. Garantizar que nadie pueda entender la información que fluye: • Software y Hardware (combinaciones), • Encripción Simétrica y Asimétrica, • DES, TripleDES, AES(Seleccionado RIJNDAEL),RSA. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 8. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Disponibilidad. Garantizar que los servicios estén activos en todo momento: • Plan de Continuidad: Planes de Contingencia, Operativa y Tecnológica, Pruebas Periódicas, Talleres Prácticos, Compromiso de los Clientes (Nivel de Acuerdo). SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 9. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos Control de Acceso: Permitir que algo o alguien acceda sólo lo que le es permitido: •Políticas de Acceso, •Asociación usuarios y recursos, •Administración de recursos, o Periféricos, o Directorios, o Archivos, etc, o Horarios o Disponibilidad SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 10. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fundamentos Básicos No-Repudiación. Garantizar que quién genere un evento válidamente, no pueda retractarse: •Certificados Digitales, •Firmas Digitales, •Integridad, •No copias de la llave privada para firmar. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 11. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Política de Seguridad La política de seguridad en la organización debe incluir: • Alcance y ámbito de la Política de Seguridad. • Responsabilidades y Organización de la Seguridad de la Información • Establecimiento de Controles (Preventivos, defectivos y correctivos) • Seguridad del personal • Seguridad de los datos • Seguridad física • Seguridad en las comunicaciones • Control de los accesos a los sistemas de información • Mantenimiento de las aplicaciones: • Contingencia y Continuidad del negocio • Plan de auditorias SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 12. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Administración de Riesgos • Riesgo: Probabilidad de ocurrencia de un evento adverso (DOS). • Amenaza: Causante de un evento adverso (Virus). • Vulnerabilidad: Debilidad frente a una amenaza(No tener AntiVirus). • Incidente: Materialización de un riesgo • Impactos: Imagen, dinero, mercado, etc. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 13. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Amenazas y Tipos de Amenazas Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema. Tipos de Amenazas: SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 14. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de amenazas más comunes: • Ataques Informáticos • Robo de información. • Destrucción de información. • Anulación del funcionamiento de los sistemas o efectos que tiendan a ello. • Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc. • Robo de dinero, estafas • Daños a la Infraestructura por desastres naturales , intencionales y no intencionales( por falta de conocimiento) • Fallos electronicos SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 15. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de amenazas según su intensión: • Interrupción o denegación: Un recurso del sistema o de la red, deja de estar disponible, colapsar total o parcialmente a un servidor para que éste no pueda dar respuesta a los comandos. • Modificación: La información de la que se dispone, es modificada sin autorización y por lo tanto deja de ser válida. • Intercepción: El intruso accede a la información de nuestros equipos, o a la información que enviamos por la red. • Fabricación: Consiste en crear un producto que sea difícil de distinguir del autentico y que es utilizado para hacerse con la información confidencial de los usuarios. • repetición: ocurre cuando un pirata informático copia una secuencia de mensajes entre dos usuarios y envía tal secuencia a uno o más usuarios. • Diccionario: En este caso, el pirata informático obtiene distintos nombres de usuarios y con ellos, desde un ordenador, empieza a adivinar las contraseñas con base en palabras de diccionarios en distintos idiomas. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 16. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de ataques informáticos más comunes: Malware. Es el acrónimo, en inglés, de las palabras ‘malicious’ y ‘software’, por lo que se conoce como software malicioso. En este grupo se encuentran los virus clásicos. Virus. Es un programa informático creado para producir algún daño en el computador. Posee dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo Spam. Es el correo electrónico no deseado o correo basura, que se envía sin ser solicitado, de manera masiva, por parte de un tercero. Aunque en un principio se utilizaba para envío de publicidad, se ha visto un creciente uso con el fin de propagar códigos maliciosos. Spyware. Los programas espía son aplicaciones que recopilan información del usuario sin su consentimiento. Su objetivo más común es obtener datos sobre los hábitos de navegación o comportamiento en la web del usuario atacado y enviarlos a entes externo SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 17. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Phishing. Consiste en el robo de información personal y financiera del usuario, a través de la falsificación de un ente de confianza. El usuario recibe un correo electrónico simulando la identidad de una organización de confianza, por lo que este, al confiar en el remitente, envía sus datos directamente al atacante. Virus. Ingeniería social. Es una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema por medio de habilidades sociales. Adware. Programa malicioso que se instala en el computador sin que el usuario lo note, y cuya función es descargar y mostrar anuncios publicitarios en la pantalla de la víctima y disminuye el rendimiento del equipo y de la navegación por la Red ya que utiliza recursos del procesador, la memoria y el ancho de banda. Por lo general, el adware utiliza información recopilada por algún spyware para decidir qué publicidad mostrar. Botnets. Es una red de equipos infectados (robot o zombi) por códigos maliciosos, los cuales son controlados por un delicuente informático el cual, de manera remota, envía órdenes a los equipos zombis haciendo uso de sus recursos. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 18. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Gusanos. Son un sub-conjunto de malware. Su principal diferencia con los virus tradicionales es que no necesitan de un archivo anfitrión para seguir vivos, por lo que se reproducen utilizando diferentes medios como las redes locales o el correo electrónico. Troyanos. Su nombre proviene de la leyenda del caballo de Troya, pues se disfraza para engañar al usuario: Los archivos que simulan ser normales e indefensos, como pueden ser juegos o programas, provocan al usuario para que los ejecute y así logran instalarse en los sistemas. Scam. Es el nombre utilizado para las estafas a través de medios tecnológicos. Los medios utilizados por el scam son similares a los que utiliza el phishing, si bien su objetivo no es obtener datos sino lucrar de forma directa a través del engaño. Las técnicas más comunes son el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa. Rootkit. Son herramientas como programas, archivos, procesos, puertos o cualquier componente lógico diseñadas para mantener en forma encubierta el control de un computador. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 19. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Los tipos de Atacantes: • Hackers: Son normalmente informáticos, que quieren descubrir vulnerabilidades de los sistemas por gusto, sin motivación económica ni dañina. • Crackers: Son las personas que rompen la seguridad del sistema con intención maliciosa, para dañarla u obtener beneficios económicos. • Sniffers: Son expertos en redes que analizan el trafico de la red, para obtener información extrayéndola de los paquetes que se transmiten por la red. • Ciberterrorista: Son expertos informáticos que trabajan para países u organizaciones como espías si saboteadores informáticos. • Programadores de virus: Estas personas deben ser expertos en programación redes y sistemas., que crean programas dañinos que afectan a aplicaciones y a sistemas. • Carders: Son personas que se dedican a ataques de sistemas de tarjetas como cajeros automáticos. • Pirata Informático: El que vende Software ilegal • Insider: Usuario Interno de la organización que hace daño SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 20. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Una auditoría informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de la infraestructura tecnológica y lo datos de una organización. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. Concepto de Auditoria Informática: SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 21. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fases de la Auditoria Informática: Fase I: Conocimientos del Sistema Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. Características del Sistema Operativo.  Organigrama del área que participa en el sistema  Manual de funciones de las personas que participan en los procesos del sistema  Informes de auditoría realizadas anteriormente Características de la aplicación de computadora  Manual técnico de la aplicación del sistema  Funcionarios (usuarios) autorizados para administrar la aplicación  Equipos utilizados en la aplicación de computadora  Seguridad de la aplicación (claves de acceso)  Procedimientos para generación y almacenamiento de los archivos de la aplicación. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 22. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase II: Análisis de transacciones y recursos Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. Análisis de las transacciones • Establecer el flujo de los documentos En esta etapa se hace uso de los flujo gramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. Análisis de los recursos • Identificar y codificar los recursos que participan en el sistemas Relación entre transacciones y recursos SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 23. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase III: Análisis de riesgos y amenazas Identificación de riesgos • Daños físicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente, archivos o informes • Robo de dispositivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineficiencia de operaciones • Errores Identificación de las amenazas • Amenazas sobre los equipos: • Amenazas sobre documentos fuente • Amenazas sobre programas de aplicaciones Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 24. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase IV: Análisis de controles Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos. SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 25. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase V: Evaluación de Controles Objetivos de la evaluación • Verificar la existencia de los controles requeridos • Determinar la operatividad y suficiencia de los controles existentes Plan de pruebas de los controles • Incluye la selección del tipo de prueba a realizar. • Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. Pruebas de controles SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 26. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Fase VI: Informe de Auditoria Informe detallado de recomendaciones • Evaluación de las respuestas • Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. Introducción: objetivo y contenido del informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos Fase VII: Seguimiento de Recomendaciones Informes del seguimiento Evaluación de los controles implantados SEGURIDAD Y AUDITORIA INFORMÁTICA
  • 27. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Según investigación realizada por Oscar Bernal-Acevedo y Juan Camilo Forero-Camacho sobre Sistemas de información en el sector salud en Colombia, el sector de la salud en Colombia cuenta con varios sistemas de información, los cuales frecuentemente no se encuentran integrados; esta situación ha llevado a una duplicación de esfuerzos para la generación de los reportes, y por tanto, a la baja calidad de la información recogida El Sistema de Vigilancia en Salud Pública (Sivigila) es un sistema de reporte de eventos de interés en salud pública, gestionado por el Instituto Nacional de Salud, que reporta especialmente patologías infecciosas, aunque recientemente se ha adicionado un módulo de mortalidad materna. El Ministerio de la Protección Social también cuenta con el Centro Nacional de Enlace, el cual utiliza principalmente la información producida por el Sivigila para reportar amenazas a la salud pública a organizaciones internacionales. La estrategia gubernamental en torno a las TIC en salud se centra en la implementación de telemedicina y del Sispro. Esta bodega de datos es gestionada por el Ministerio de la Protección Social e integra la información de salud, pensiones, riesgos profesionales, trabajo, empleo y asistencia social Componentes del sistema de información en salud
  • 28. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Registro Único de Afiliados (Ruaf): maneja información de afiliación a todos los componentes de la protección social (salud, pensiones, riesgos profesionales, etc.). La información es reportada directamente por las administradoras al Ruaf, excepto salud que tiene un mecanismo de reporte diferente a través del Fondo de Solidaridad y Garantía (Fosyga). El Ruaf tiene un módulo llamado ND-Ruaf que registra la información de nacidos vivos y defunciones; este módulo es la fuente de información utilizada por el Departamento Nacional de Estadística (DANE) para la publicación de información poblacional Planilla Integrada de Liquidación de Aportes (PILA): la PILA es la base de datos que maneja información de empleo, cotizantes y aportantes a los diferentes módulos de la protección social Planilla Integrada de Liquidación de Aportes (PILA): la PILA es la base de datos que maneja información de empleo, cotizantes y aportantes a los diferentes módulos de la protección social Cuentas maestras: contiene información de la distribución de recursos del sistema general de participaciones. Componentes del sistema de información en salud
  • 29. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Registro de personas con discapacidad: en esta base de datos se encuentran registradas personas con algún tipo de discapacidad que son reportadas por las gobernaciones. Esta base de datos tiene una baja cobertura, dada la dificultad para la identificación y el registro de ésta población Registro Individual de Prestación de Servicios (RIPS): recoge la información de los servicios de salud prestados en el país. Estos registros son generados por las IPS, las cuales los envían a la administradora correspondiente, la que a su vez los envía al Ministerio de Protección Social. En años anteriores han tenido algunos problemas de calidad y cobertura; sin embargo, desde 2009 se ha venido realizando un trabajo con las administradoras de planes de beneficios para mejorar la calidad y la cantidad de reportes. Vacunación: contiene información de vacunación enviada por las direcciones territoriales de salud. Hacia el futuro este módulo se plantea como un sistema de seguimiento para cada individuo vacunado, con el objeto de supervisar el cumplimiento de planes de vacunación. Sistema de Gestión de Hospitales Públicos (SIHO): recoge información de gestión, capacidad instalada y funcionamiento de los hospitales públicos. No tiene alta cobertura Registro Especial de Prestadores de Servicios (REPS): registra la información de los prestadores habilitados para la prestación de servicio. Es responsabilidad de los entes territoriales. Componentes del sistema de información en salud
  • 30. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología Para la planificación y desarrollo del sistema de información en salud debe partirse de la identificación de necesidades de información de los diferentes actores involucrados. Para el desarrollo del grupo de indicadores se deben tener en cuenta tres grandes divisiones: • Determinantes de la salud: aspectos socioeconómicos, ambientales, comportamentales y factores de riesgo. • Sistema de Salud: políticas de salud, aspectos organizacionales, recursos humanos y financieros, infraestructura, suministros, calidad, acceso, aseguramiento, etc. • Estado de salud: mortalidad, morbilidad, discapacidad, etc. La Organización Mundial de la Salud (OMS) recomienda 40 indicadores básicos en cinco aspectos: • Indicadores de mortalidad, • Indicadores de morbilidad, • Estadísticas de cubrimiento del sistema de salud, • Factores de riesgo, y • Estadísticas del sistema de salud. Necesidad de información e indicadores
  • 31. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología El sistema de información debe soportarse en un marco jurídico y de principios de gobierno que lleven a su desarrollo. Hasta ahora, a pesar del contexto legal que define el funcionamiento, las instituciones no han tenido la fortaleza para hacer entrar en vigor lo contenido en la Ley. Un actuar organizacional orientado hacia la generación e intercambio de información es vital para el desarrollo de un sistema de información integral. Para lograr los objetivos y cumplir con los aspectos dispuestos por la Ley se deben desarrollar proyectos conjuntos que integren los datos de las diferentes organizaciones. El sistema de información en salud en Colombia, a pesar de ser una necesidad para la toma de decisiones informadas y el diseño de políticas, ha sido una de las grandes deficiencias del sector. Los planes gubernamentales no se han puesto en práctica y los proyectos que se están ejecutando para la implementación son muy recientes. Hay que aprovechar el momento de cambio para plantear y desarrollar un sistema que responda a las necesidades de información de los diferentes actores. En este contexto, se necesita una regulación gubernamental fuerte y efectiva, con un diseño y una aplicación adecuada de incentivos que lleven a un cambio organizacional, orientado hacia una cultura de información e interacción entre las diferentes organizaciones con intereses en el sector. Este cambio cultural es probablemente el mayor desafío del sistema de información en salud colombiano y el liderazgo es el factor clave de éxito en el proceso Recomendaciones
  • 32. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología El momento de cambio por el que está atravesando el sistema de salud colombiano representa una oportunidad para corregir los errores y debilidades del sistema de información en salud, capitalizándolos en la búsqueda de la interoperabilidad y mejoramiento de la calidad. El Gobierno es un actor clave para el desarrollo del sistema; debe ejercer un rol de liderazgo, mediante le definición de requisitos técnicos y operativos, a través de la expedición de normas pertinentes. La Ley 1438 de 2011 genera una carga adicional para el desarrollo del sistema, con la creación de nuevas instituciones que requieren grandes cantidades de información y la digitalización de historias clínicas, lo que significa un gran esfuerzo económico, técnico y operativo. Es esencial la toma de decisiones participativas y la definición de estándares, así como el diseño de incentivos que permitan la adopción de tecnologías de información pertinentes por parte de las organizaciones. Los sistemas de información de países con el mismo nivel de ingresos de Colombia muestran debilidades y fortalezas similares. Mediante la identificación de éstas se generan nuevas posibilidades de crecimiento y desarrollo del sistema de información nacional en salud. La estandarización y simplificación del mecanismo de captura de información es un paso clave para el mejoramiento de la cobertura y calidad de los reportes recogidos. Conclusiones