Download - Seg Inf Sem01
Seguridad Informática Ing. Álvaro Orihuela
Seguridad Informática Ing. Álvaro Orihuela
a g e n d a
• Introducción• Seguridad Informática• Los pilares de la seguridad
Informática• Algunos conceptos básicos• Gestión del riesgo
Seguridad Informática Ing. Álvaro Orihuela
Las Organizaciones y las Tecnología de Información
Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) que la soporta.
Seguridad Informática Ing. Álvaro Orihuela
De dónde emerge la criticidad...
La creciente dependencia en la información y en los sistemas que proporcionan dicha información
La creciente vulnerabilidad y un amplio espectro de amenazas
La escala de las inversiones en Tecnología
El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones.
Seguridad Informática Ing. Álvaro Orihuela
Niv
el d
e de
pend
enci
a
Nivel de utilización de TI
A mayor utilización mayor dependencia en
TIy mayores riesgos…..
A mayor utilización mayor dependencia en
TIy mayores riesgos…..
RIESGOSRIESGOS
Vivimos en una relación de dependencia
Seguridad Informática Ing. Álvaro Orihuela
Encuesta de crímenes informáticos y de seguridad
Seguridad Informática Ing. Álvaro Orihuela
Seguridad Informática
“Sólo protegemos aquello que creemos tiene un valor importante para nosotros”
Elementos básicos a proteger en cualquier sistema informático son:
Hardware: Facilidades de procesamientoSoftware: Sistemas operativos aplicacionesDatos: El bien más importante.
Seguridad Informática Ing. Álvaro Orihuela
Seguridad: “cualidad de seguro”.
Seguro: “libre y exento de todo peligro, daño o riesgo”.
¿Cómo definir la seguridad informática?
Seguridad Informática: “Cualidad” de un Sistema Informático que esta “libre y exento de todo peligro, daño o riesgo”.
Seguridad Informática Ing. Álvaro Orihuela
¿Cómo definir la seguridad informática?
En conjunto constituido por diversas metodologías, documentos, software, hardware, que determinan que los accesos a los recursos de un sistema informático sean realizados exclusivamente por los elementos autorizados a hacerlos
Seguridad de la Información:Preservación de la confidencialidad, integridad y disponibilidad de la información.
Seguridad Informática Ing. Álvaro Orihuela
Confidencialidad
Pilares de la SSII
Seguridad de la Información
Integridad Disponibilidad
Seguridad Informática Ing. Álvaro Orihuela
ConfidencialidadConfidencialidadAseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso.
IntegridadIntegridadGarantía de la exactitud y el contenido completo de la información y los métodos de su procesamiento.
DisponibilidadDisponibilidad– Aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran a la información y sus activos asociados.
Pilares de SSII
Seguridad Informática Ing. Álvaro Orihuela
Está asociado a la aceptación de un protocolo de comunicación entre emisor y receptor (cliente y servidor) normalmente a través del intercambio de certificados digitales de autenticación.
No repudio
Seguridad Informática Ing. Álvaro Orihuela
Confidencialidad
Resumen
Seguridad de la Información
Integridad Disponibilidad
Datos
Hardware
Software
¿Maximizar los 3
pilares?
Elementos a proteger
Seguridad Informática Ing. Álvaro Orihuela
Ataques a la seguridad
Interrupción Interceptación Modificación Fabricación (pérdida) (acceso) (cambio) (alteración)
Confidencialidad
Seguridad de la Información
Integridad Disponibilidad
Seguridad Informática Ing. Álvaro Orihuela
Alguno conceptos...
Activo Amenaza Riesgo Vulnerabilidad Contramedida
Seguridad Informática Ing. Álvaro Orihuela
ActivoTodo recurso del sistema de información o relacionado con este, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Seguridad Informática Ing. Álvaro Orihuela
AmenazaEvento que puede desencadenar un incidente en la organización, produciendo daños o perdidas materiales o inmateriales en sus activos
Seguridad Informática Ing. Álvaro Orihuela
Principales amenazas
Ingeniería Social, Repetición de Transacción, Phishing, Backdoors, Escaneo de Puertos, DHCP Starvation Wardialers, Trashing, Código Malicioso, Exploits,
DoS, DoS Distribuido, Ataques de Contraseña, Control Remoto de Equipos, Fraude Informático,
Eavesdropping, Acceso a Información Confidencial Impresa,
Man-in-the-Middle, Daños Físicos al Equipamiento, Robo de Equipamiento, IP - MAC Address Spoofing,
Defacement, Pérdida de Copias de Resguardo,Software Ilegal, entre otras.
Tema de Preguntas - Próxima clase
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
Seguridad Informática Ing. Álvaro Orihuela
VulnerabilidadEs una falla en el diseño, implementación o configuración de un software, sistema operacional o hardware que, cuando explotada por un atacante, resulta en una violación de la seguridad de un computador. Ejemplos:
Falla en la administración de contraseñas Puertos innecesarios abiertos en el
Firewall Procedimientos de backup errados o
inexistentes Sistemas de log errados o inexistentes Análisis de logs equivocados o errados
Seguridad Informática Ing. Álvaro Orihuela
RiesgoProbabilidad de que un activo este sujeto a factores e incidentes que puedan devenir en perdidas o daños, comprometiendo la continuidad de las actividades de una organización. Probabilidad de que una amenaza se materialice.
Riesgo Amenazas Vulnerabilidades= x
Seguridad Informática Ing. Álvaro Orihuela
Impacto
Consecuencia de la materialización de una amenaza sobre un activo de la organización.
Seguridad Informática Ing. Álvaro Orihuela
ContramedidasLa contramedida o control es una practica, procedimiento o mecanismo que reduce el nivel de riesgo. Preventivas, detección y recuperación.
• Un firewall• Una política de contraseñas• Política de Backups• Dispositivos biométricos como control de acceso.•Etc.
Seguridad Informática Ing. Álvaro Orihuela
Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.
Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Además, permite determinar cuanto podemos invertir en seguridad.
Análisis de riesgo
Seguridad Informática Ing. Álvaro Orihuela
Análisis de riesgo
El Análisis de Riesgos implica:Determinar qué se necesita proteger.De qué hay que protegerlo.Cómo hacerlo.
Seguridad Informática Ing. Álvaro Orihuela
Análisis de riesgos
1. Identificación de activos y el costo ante posibles pérdidas (L)
Identificar amenazas
2. Determinar susceptibilidad.La probabilidad de pérdida (P)
3. Identificar posibles acciones (gasto) y sus implicaciones (G).Seleccionar acciones a implementar.
¿ G PL ?
Seguridad Informática Ing. Álvaro Orihuela
NTP - ISO/IEC 17799:2004
Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información.
• Antecedentes
• Introducción
• Objeto y campo de la aplicación
• Términos y definiciones
• Política de seguridad
• Aspectos organizativos para la seguridad
• Clasificación y control de los archivos
• Seguridad ligada al personal
• Seguridad física y del entorno
• Gestión de comunicaciones y operaciones
• Control de accesos
• Desarrollo y mantenimiento de sistemas
• Gestión de continuidad del negocio
• Conformidad
Seguridad Informática Ing. Álvaro Orihuela
Sistemas de Gestión de la Seguridad de la Información -
SGSIConjunto de elementos que permiten establecer las bases para la administración efectiva de la seguridad de la información
La política de seguridad Estructura organizativa Los procedimientos Los procesos Recursos necesarios
SGSI
El Objetivo del SGSI es salvaguardar la información
Seguridad Informática Ing. Álvaro Orihuela
Ideas finales
La seguridad no es un producto, sino un proceso
“...Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende de tecnología”. --- Bruce Schneier
Seguridad Informática Ing. Álvaro Orihuela
?