1. 1
SISTEMA DE GESTION DE LA
SEGURIDAD DE LA INFORMACION
Ing. Laura Carruido Estudiante:
Hernández Crisbel
CI: 23.797.968
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉNICA DE LA
FUERZA ARMADA
UNEFA
NOVIEMBRE, 2017
3. 3
Información a Proteger
• ¿Cual es la información más valiosa que manejamos?
– La información asociado a nuestros clientes.
– La información asociado a nuestras ventas.
– La información asociada a nuestro personal.
– La información asociada a nuestros productos.
– La información asociada a nuestras operaciones.
4. 4
¿Riesgos?
• Pero si nunca paso nada!!.
– Esto no real.
– Lo que sucede es que hoy sabemos muy poco.
• La empresa necesita contar con información sobre la cual tomar
decisiones a los efectos de establecer controles necesarios y
eficaces.
5. 5
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Amenazas
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
6. 6
Captura de PC desde el exterior
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
Virus
Mails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y
wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos
Propiedad de la información
Agujeros de seguridad de redes conectadas
Falsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
Más Amenazas!!
7. 7
Vulnerabilidades Comunes
• Inadecuado compromiso de la dirección.
• Personal inadecuadamente capacitado y concientizado.
• Inadecuada asignación de responsabilidades.
• Ausencia de políticas/ procedimientos.
• Ausencia de controles
– (físicos/lógicos)
– (disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.
• Inadecuado seguimiento y monitoreo de los controles.
9. 9
¿Seguridad de la Información ?
• La información es un activo que como otros activos importantes
tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma que
tome o los medios por los que se comparte o almacene.
10. 10
¿Seguridad de la Información ?
• La seguridad de la información se caracteriza aquí como la
preservación de:
– su confidencialidad, asegurando que sólo quienes estén autorizados
pueden acceder a la información;
– su integridad, asegurando que la información y sus métodos de proceso
son exactos y completos.
– su disponibilidad, asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran.
11. Es el examen objetivo, crítico, sistemático, posterior y selectivo
que se hace a la administración informática de una
organización, con el fin de emitir una opinión acerca de:
• La eficiencia en la adquisición y utilización de los
recursos informáticos.
• La confiabilidad, la integridad, la seguridad y
en los sistemas de
oportunidad de información.
• La efectividad de los controles
información.
¿Qué es la Auditoria en Sistemas de
Información?
12. Toma de decisiones incorrectas
Reducir el costo de los errores
Consecuencias de las pérdidas de datos
Valor del hardware, del software y del personal
Privacidad de los datos personales
Fraude informático
Principales razones para auditar y
controlar los SI
13. Conclusiones
• Nada es estático, la seguridad no es la
excepción. Mejora continua.
• Seguridad total no existe, pero sí existe la
garantía de calidad en un proceso de
seguridad.