SlideShare una empresa de Scribd logo

Seguridad Informatica y Gestión de Riesgos

Descargar como PPTX, PDF
D
daylisyfran
1 de 28
UNIVERSIDAD CATÓLICA SANTA MARÍA LA ANTIGUA MAESTRÍA EJECUTIVA EN DIRECCIÓN EMPRESARIAL TECNOLOGÍA Y SISTEMAS INFORMÁTICOS PARA LA TOMA DE DECISIONES PRESENTADO POR: DAYLIS JÁEN FRANCISCO PINEDO 29 DE SEPTIEMBRE DE 2012
Introducción ÍNDICE ¿Qué es la seguridad informática ? Objetivos Las Amenazas Tipos de Amenazas Recomendaciones para las amenazas Tipos de Virus ¿Qué es la gestión de riesgos? Medios para conseguir una gestión de riesgos Análisis de impacto al negocio Política de Seguridad Técnicas para asegurar el sistema Respaldo de Información Software Consideraciones de una red Afirmaciones erróneas sobre la seguridad Seguridad informática Conclusión
INTRODUCCIÓN La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. Esta presentación tiene como misiva mostrar los aspectos importantes de dicho tema y analizarlos punto a punto con el objetivo de fomentar el buen uso de la informática y el cuidado de la misma.
¿Qué es la seguridad informática ? Es el área de la informática que se enfoca en la protección de la infraestructura computacional y lo relacionado con esta. Esta se comprende por:  Software  Base de datos  Metadatos Archivos  Y todo lo que signifique un riesgo si llega a manos de personas no autorizadas
Objetivos La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran: La información contenida Esta se debe administrar según los criterios establecidos por administradores y supervisores Se debe asegurar el acceso a la información en el momento oportuno
Objetivos La infraestructura computacional Parte fundamental para el almacenamiento y gestión de La información Es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática
Objetivos Los usuarios Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información Se debe establecer normas que minimicen los riesgos a la información o infraestructura informática Incluyen: Horarios de funcionamiento Restricciones a ciertos lugares Autorizaciones Denegaciones Perfiles de usuario Planes de emergencia Protocolos
Las Amenazas Se deben tener en cuenta circunstancias “no informáticas” que pueden afectar los datos los cuales son imprevisibles o inevitables. La protección posible es la redundancia (caso de los datos) y la descentralización (casi de las comunicaciones) El usuario Un intruso Programas maliciosos Causa del mayor Persona que problema ligado a la consigue acceder a Destinados a seguridad de un los datos o perjudicar o a hacer sistema informático programas de los un uso ilícito de los (porque no le cuales no tiene recursos del sistema. importa, no se da acceso permitido Estos programas cuenta o a (cracker, defacer, scr pueden ser un virus propósito) ipt kiddie o Script informático, un boy, viruxer, etc.). gusano informático, un troyano, una bomba lógica o un programa espía.
Las Amenazas Un siniestro El personal interno de (robo, incendio, inun Sistemas dación) Las pujas de poder Una mala que llevan a manipulación o una disociaciones entre malintención derivan los sectores y a la pérdida del soluciones material o de los incompatibles para archivos. la seguridad informática.
Tipos de Amenazas Amenazas Internas Amenazas Externas Estas amenazas pueden ser más Son aquellas amenazas que se serias que las externas por varias originan fuera de la red. razones como son: Al no tener información certera de Los usuarios conocen la red y la red, un atacante tiene que saben cómo es su funcionamiento. realizar ciertos pasos para poder conocer qué es lo que hay en ella y Tienen algún nivel de acceso a la buscar la manera de atacarla. red por las mismas necesidades de su trabajo. La ventaja que se tiene en este caso es que el administrador de la Los IPS y Firewalls son mecanismos red puede prevenir una buena parte no efectivos en amenazas internas. de los ataques externos
Recomendaciones para las amenazas Evitar realizar operaciones comerciales en computadoras de uso público. Mantener las soluciones activadas y actualizadas. Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.
Tipos de Virus Virus residentes La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros. Virus de acción directa Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos. Virus de sobre escritura Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.
Tipos de Virus Virus cifrados Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no ser detectados por los programas antivirus. Virus del Fichero Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos. Virus de enlace o directorio Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos.
Tipos de Virus Virus multipartites Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Virus de FAT Es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco. Virus polimórficos Son virus que en cada infección que realizan se cifran de una forma distinta. De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.
¿Qué es la gestión de riesgos? Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de: Preservar las Disponibilidad de propiedades de los recursos Integridad confidencialidad objetos de riesgo
El activo más La información importante Técnicas que la aseguren  Les brinda la seguridad lógica que consiste en:  La aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Medios para conseguir una gestión de riesgos Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Análisis de impacto al negocio El reto es asignar estratégicamente los recursos para cada equipo de seguridad y bienes que intervengan El sistema de gestión de incidentes necesita saber el valor de los sistemas de Dentro de los Valores para el sistema información que pueden ser se pueden distinguir: potencialmente afectados por incidentes de seguridad. Confidencialidad de la información La Integridad La Disponibilidad del sistema
Política de Seguridad Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza Por eso en lo referente a elaborar una política de seguridad, conviene: •Elaborar reglas y procedimientos para cada servicio de la organización. •Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión •Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Técnicas para asegurar el sistema Vigilancia de red. Zona desmilitarizada Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo Tecnologías repelentes o protectoras: sistema de detección de intrusos – antispyware Antivirus Sistema de Respaldo  Llaves para protección de software, Remoto. Servicio de Mantener los sistemas de información backup remoto con las actualizaciones que más impacten en la seguridad.
Respaldo de Información BACKUPS Copias de seguridad Es vital para las empresas incrementales elaborar un plan de backup en función del volumen de información generada y la cantidad de equipos críticos Copias de seguridad completa
Respaldo de Información Un buen sistema de respaldo debe contar con: Continuo El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario. Seguro Muchos softwares de respaldo incluyen cifrado de datos (128-448 bits), lo cual debe ser hecho localmente en el equipo antes del envío de la información. Remoto Los datos deben quedar alojados en dependencias alejadas de la empresa. Mantención de versiones anteriores de los datos Se debe contar con un sistema que permita la recuperación de versiones diarias, semanales y mensuales de los datos.
Software Reduce riesgos Proporciona un método Facilita la reinstalación correcto de asegurar la en caso de reinstalación en caso de contingencia desastre
Consideraciones de una red Los puntos de entrada en la red El correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles. Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus.
Afirmaciones erróneas sobre la seguridad Mi sistema no es importante para un cracker Abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. Estoy protegido pues no abro archivos que no conozco Los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.
Afirmaciones erróneas sobre la seguridad Como tengo antivirus estoy protegido Los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada aún. Como dispongo de un firewall no me contagio Los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing.
Seguridad informática CERT/CC Organismo oficial encargado de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias. Un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.
CONCLUSIÓN La información forma parte del activo más importante de cada empresa, pudiendo verse afectada por muchos factores tales como robos, incendios, virus u otros. Desde nuestro punto de vista, uno de los problemas más importantes que debe preverse es la protección permanente de su información.

Recomendados

Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridadDaniela Florez
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informaticoJordy Luna Palacios
 

Recomendados

Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridadDaniela Florez
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informaticoJordy Luna Palacios
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
information security
information securityinformation security
information securityuniversity of karachi
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informáticafranka99
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosAlvaro Silva Gutierrez
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1veronicamacuarisma
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónTensor
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
Cyber Security Governance
Cyber Security GovernanceCyber Security Governance
Cyber Security GovernancePriyanka Aash
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Analisis De Riesgos
Analisis De RiesgosAnalisis De Riesgos
Analisis De Riesgosjose david mafla
 

Más contenido relacionado

La actualidad más candente

La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informáticafranka99
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosAlvaro Silva Gutierrez
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónTensor
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
Cyber Security Governance
Cyber Security GovernanceCyber Security Governance
Cyber Security GovernancePriyanka Aash
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 

La actualidad más candente (20)

La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
 
information security
information securityinformation security
information security
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgos
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazas
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
 
Cyber Security Governance
Cyber Security GovernanceCyber Security Governance
Cyber Security Governance
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 

Destacado

Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
CONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACIONCONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACIONrios abogados
 
seguridad informática
seguridad informática seguridad informática
seguridad informáticanadialjp
 

Destacado (9)

Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
Analisis De Riesgos
Analisis De RiesgosAnalisis De Riesgos
Analisis De Riesgos
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informatica
 
CONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACIONCONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACION
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgos
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
Confidencialidad
ConfidencialidadConfidencialidad
Confidencialidad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 

Similar a Seguridad Informatica y Gestión de Riesgos

Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaJeovany Serna
 
Seguridad informatica karen 1004
Seguridad informatica karen 1004Seguridad informatica karen 1004
Seguridad informatica karen 1004krencytah
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamaricarrion
 
Ensayo de seguridad informática
Ensayo de seguridad informáticaEnsayo de seguridad informática
Ensayo de seguridad informáticaronaldlezama
 
Seguridades Informàticas
Seguridades InformàticasSeguridades Informàticas
Seguridades InformàticasEduardodj95
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJemarly11
 

Similar a Seguridad Informatica y Gestión de Riesgos (20)

Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Informatica
InformaticaInformatica
Informatica
 
Seguridad informatica karen 1004
Seguridad informatica karen 1004Seguridad informatica karen 1004
Seguridad informatica karen 1004
 
Seguridad Informatica
Seguridad Informatica Seguridad Informatica
Seguridad Informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayo
 
nicolevillacisavila
nicolevillacisavilanicolevillacisavila
nicolevillacisavila
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad inf
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
Tarea 2
Tarea 2Tarea 2
Tarea 2
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Ensayo de seguridad informática
Ensayo de seguridad informáticaEnsayo de seguridad informática
Ensayo de seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridades Informàticas
Seguridades InformàticasSeguridades Informàticas
Seguridades Informàticas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 

Más de daylisyfran

Plan estrategico ISAC Panamá
Plan estrategico ISAC PanamáPlan estrategico ISAC Panamá
Plan estrategico ISAC Panamádaylisyfran
 
Caso United Foods
Caso United FoodsCaso United Foods
Caso United Foodsdaylisyfran
 
Análisis De Herramientas Tecnológicas
Análisis De Herramientas TecnológicasAnálisis De Herramientas Tecnológicas
Análisis De Herramientas Tecnológicasdaylisyfran
 
Análisis empresarial
Análisis empresarialAnálisis empresarial
Análisis empresarialdaylisyfran
 

Más de daylisyfran (10)

Plan estrategico ISAC Panamá
Plan estrategico ISAC PanamáPlan estrategico ISAC Panamá
Plan estrategico ISAC Panamá
 
Caso United Foods
Caso United FoodsCaso United Foods
Caso United Foods
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
Cobit 4.1
Cobit 4.1 Cobit 4.1
Cobit 4.1
 
Análisis De Herramientas Tecnológicas
Análisis De Herramientas TecnológicasAnálisis De Herramientas Tecnológicas
Análisis De Herramientas Tecnológicas
 
Book review #2
Book review #2Book review #2
Book review #2
 
Outsourcing
Outsourcing Outsourcing
Outsourcing
 
Book review
Book reviewBook review
Book review
 
Book review #1
Book review #1Book review #1
Book review #1
 
Análisis empresarial
Análisis empresarialAnálisis empresarial
Análisis empresarial
 

Seguridad Informatica y Gestión de Riesgos

  • 1. UNIVERSIDAD CATÓLICA SANTA MARÍA LA ANTIGUA MAESTRÍA EJECUTIVA EN DIRECCIÓN EMPRESARIAL TECNOLOGÍA Y SISTEMAS INFORMÁTICOS PARA LA TOMA DE DECISIONES PRESENTADO POR: DAYLIS JÁEN FRANCISCO PINEDO 29 DE SEPTIEMBRE DE 2012
  • 2. Introducción ÍNDICE ¿Qué es la seguridad informática ? Objetivos Las Amenazas Tipos de Amenazas Recomendaciones para las amenazas Tipos de Virus ¿Qué es la gestión de riesgos? Medios para conseguir una gestión de riesgos Análisis de impacto al negocio Política de Seguridad Técnicas para asegurar el sistema Respaldo de Información Software Consideraciones de una red Afirmaciones erróneas sobre la seguridad Seguridad informática Conclusión
  • 3. INTRODUCCIÓN La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. Esta presentación tiene como misiva mostrar los aspectos importantes de dicho tema y analizarlos punto a punto con el objetivo de fomentar el buen uso de la informática y el cuidado de la misma.
  • 4. ¿Qué es la seguridad informática ? Es el área de la informática que se enfoca en la protección de la infraestructura computacional y lo relacionado con esta. Esta se comprende por:  Software  Base de datos  Metadatos Archivos  Y todo lo que signifique un riesgo si llega a manos de personas no autorizadas
  • 5. Objetivos La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran: La información contenida Esta se debe administrar según los criterios establecidos por administradores y supervisores Se debe asegurar el acceso a la información en el momento oportuno
  • 6. Objetivos La infraestructura computacional Parte fundamental para el almacenamiento y gestión de La información Es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática
  • 7. Objetivos Los usuarios Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información Se debe establecer normas que minimicen los riesgos a la información o infraestructura informática Incluyen: Horarios de funcionamiento Restricciones a ciertos lugares Autorizaciones Denegaciones Perfiles de usuario Planes de emergencia Protocolos
  • 8. Las Amenazas Se deben tener en cuenta circunstancias “no informáticas” que pueden afectar los datos los cuales son imprevisibles o inevitables. La protección posible es la redundancia (caso de los datos) y la descentralización (casi de las comunicaciones) El usuario Un intruso Programas maliciosos Causa del mayor Persona que problema ligado a la consigue acceder a Destinados a seguridad de un los datos o perjudicar o a hacer sistema informático programas de los un uso ilícito de los (porque no le cuales no tiene recursos del sistema. importa, no se da acceso permitido Estos programas cuenta o a (cracker, defacer, scr pueden ser un virus propósito) ipt kiddie o Script informático, un boy, viruxer, etc.). gusano informático, un troyano, una bomba lógica o un programa espía.
  • 9. Las Amenazas Un siniestro El personal interno de (robo, incendio, inun Sistemas dación) Las pujas de poder Una mala que llevan a manipulación o una disociaciones entre malintención derivan los sectores y a la pérdida del soluciones material o de los incompatibles para archivos. la seguridad informática.
  • 10. Tipos de Amenazas Amenazas Internas Amenazas Externas Estas amenazas pueden ser más Son aquellas amenazas que se serias que las externas por varias originan fuera de la red. razones como son: Al no tener información certera de Los usuarios conocen la red y la red, un atacante tiene que saben cómo es su funcionamiento. realizar ciertos pasos para poder conocer qué es lo que hay en ella y Tienen algún nivel de acceso a la buscar la manera de atacarla. red por las mismas necesidades de su trabajo. La ventaja que se tiene en este caso es que el administrador de la Los IPS y Firewalls son mecanismos red puede prevenir una buena parte no efectivos en amenazas internas. de los ataques externos
  • 11. Recomendaciones para las amenazas Evitar realizar operaciones comerciales en computadoras de uso público. Mantener las soluciones activadas y actualizadas. Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.
  • 12. Tipos de Virus Virus residentes La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros. Virus de acción directa Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos. Virus de sobre escritura Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.
  • 13. Tipos de Virus Virus cifrados Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no ser detectados por los programas antivirus. Virus del Fichero Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos. Virus de enlace o directorio Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos.
  • 14. Tipos de Virus Virus multipartites Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc. Virus de FAT Es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco. Virus polimórficos Son virus que en cada infección que realizan se cifran de una forma distinta. De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.
  • 15. ¿Qué es la gestión de riesgos? Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de: Preservar las Disponibilidad de propiedades de los recursos Integridad confidencialidad objetos de riesgo
  • 16. El activo más La información importante Técnicas que la aseguren  Les brinda la seguridad lógica que consiste en:  La aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
  • 17. Medios para conseguir una gestión de riesgos Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
  • 18. Análisis de impacto al negocio El reto es asignar estratégicamente los recursos para cada equipo de seguridad y bienes que intervengan El sistema de gestión de incidentes necesita saber el valor de los sistemas de Dentro de los Valores para el sistema información que pueden ser se pueden distinguir: potencialmente afectados por incidentes de seguridad. Confidencialidad de la información La Integridad La Disponibilidad del sistema
  • 19. Política de Seguridad Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza Por eso en lo referente a elaborar una política de seguridad, conviene: •Elaborar reglas y procedimientos para cada servicio de la organización. •Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión •Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
  • 20. Técnicas para asegurar el sistema Vigilancia de red. Zona desmilitarizada Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo Tecnologías repelentes o protectoras: sistema de detección de intrusos – antispyware Antivirus Sistema de Respaldo  Llaves para protección de software, Remoto. Servicio de Mantener los sistemas de información backup remoto con las actualizaciones que más impacten en la seguridad.
  • 21. Respaldo de Información BACKUPS Copias de seguridad Es vital para las empresas incrementales elaborar un plan de backup en función del volumen de información generada y la cantidad de equipos críticos Copias de seguridad completa
  • 22. Respaldo de Información Un buen sistema de respaldo debe contar con: Continuo El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario. Seguro Muchos softwares de respaldo incluyen cifrado de datos (128-448 bits), lo cual debe ser hecho localmente en el equipo antes del envío de la información. Remoto Los datos deben quedar alojados en dependencias alejadas de la empresa. Mantención de versiones anteriores de los datos Se debe contar con un sistema que permita la recuperación de versiones diarias, semanales y mensuales de los datos.
  • 23. Software Reduce riesgos Proporciona un método Facilita la reinstalación correcto de asegurar la en caso de reinstalación en caso de contingencia desastre
  • 24. Consideraciones de una red Los puntos de entrada en la red El correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles. Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus.
  • 25. Afirmaciones erróneas sobre la seguridad Mi sistema no es importante para un cracker Abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. Estoy protegido pues no abro archivos que no conozco Los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.
  • 26. Afirmaciones erróneas sobre la seguridad Como tengo antivirus estoy protegido Los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada aún. Como dispongo de un firewall no me contagio Los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing.
  • 27. Seguridad informática CERT/CC Organismo oficial encargado de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias. Un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.
  • 28. CONCLUSIÓN La información forma parte del activo más importante de cada empresa, pudiendo verse afectada por muchos factores tales como robos, incendios, virus u otros. Desde nuestro punto de vista, uno de los problemas más importantes que debe preverse es la protección permanente de su información.