protección de los sistemas de información sistemas de información
TRANSCRIPT
Protección de los Sistemas de Información
Sistemas de Información
Alta dependencia de los SI Redes y medios de comunicación Acceso masivo Cultura informática de los usuarios Para operar un negocio se necesita
hacer prioridad la seguridad y los controles
IMPORTANCIA DE LA SEGURIDAD EN LOS SISTEMAS DE INFORMACION
Seguridad
Se refiere a las políticas, procedimientos
y medidas técnicas utilizadas para
impedir el acceso no autorizado, la
alteración, el robo o el daño físico a los
sistemas de información.
Controles
Consisten en todos los métodos, políticas
y procedimientos organizacionales que
garantizan la seguridad de los activos de
la organización; la precisión y
confiabilidad de sus registros contables, y
el apego de las operaciones a las normas
de la administración.
OBJETIVOS DE UN SISTEMA SEGURO
Confidencialidad
Integridad
Disponibilidad
Ciclo de la Seguridad Informática
Medidas de Seguridad
Amenazas
Vulnerabilidades
Impactos
Incidentes
Activos
Riesgos
EXPONEN
PÉRDIDACAUSAN
LIMITAN
IMPIDEN EXPLOTAN
AUMENTAN
AUMENTAN
AUMENTAN
AUMENTAN
DISMINUYEN
POR QUE SON VULNERABLES LOS SISTEMAS
Retos Y Vulnerabilidades De La Seguridad Contemporánea
BaseDe
DatosHardware
Sistemas OperativosSoftware
Sistemas Corporativos
Cliente(usuario)
Líneas decomunicaciones
Servicios Corporativos
* Acceso no autorizado* Errores
* Virus y Spyware
* Intervención telefónica
*Husmeo de la red* Alteración de
mensajes* Robo y fraude
* Piratería informática
* Virus y gusanos*Robo y fraude
*Vandalismo
* Robo de datos*Copiado de datos
* Alteración de datos* Falla del Hardware * Falla del Software
VULNERABILIDAD
Las amenazas mas comunes pueden derivarse de factores técnicos, organizacionales y del entorno combinados con decisiones administrativas deficientes.
Vulnerabilidad es la debilidad de un sistema informático que permite que sus propiedades de sistema seguro sean violadas
Puede originarse en el diseño, la implementación o en los procedimientos para operar y administrar el sistema
RIESGO
Pérdidas potenciales derivadas de amenazas y vulnerabilidades
Busca representar las pérdidas en términos cuantitativos y/o cualitativos:
• Frecuencia• Importancia• Valor
INCIDENTES
Acciones que violan la política de la organización
Algunos son crímenes Mal uso o abuso interno o externo:
– Acceso sin autoridad– Acceso por exceso de autoridad– Acceso con autoridad
Se entiende por Auditoria “una sistemática
evaluación de las diversas operaciones y controles
de una organización, para determinar si se siguen
políticas y procedimientos aceptables, si se siguen
las normas establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos
de la organización. (B.Sawyer)”.
AUDITORIA
La auditoría informática evalúa y comprueba los controles y
procedimientos informáticos más complejos, desarrollando y
aplicando técnicas mecanizadas de auditoría, incluyendo el
uso de software
Los distintos tipos de auditorías que se pueden realizar
se clasifican en:
Financieras
Verificativas
Operativas o de Gestión
Técnicas.
Auditorias financieras las que se hacen con el fin de
asegurar el adecuado registro de las transacciones, el
cumplimiento de los principios de Contabilidad
generalmente aceptados y los planes y regulaciones
contables y financieros, que obligan a la organización.
Las auditorias verificativas o de cumplimiento tratan
de asegurar a la dirección de la organización, que sus
políticas, programas y normas se cumplen
razonablemente en todo el ámbito de la misma.
La auditoría operativa o de gestión es una revisión
que comprende las actividades, sistemas y controles
dentro de la empresa para conseguir economía,
eficiencia, eficacia u otros objetivos.
La auditoría técnica o de métodos es una revisión de
los métodos y técnicas utilizadas en la realización de
las operaciones de la empresa.
La realización de las auditorias corresponde a los auditores, pudiéndose dividir la función auditora en dos grandes grupos: La auditoría externa y la auditoría interna. La función de auditoría informática puede existir en cualquiera de los citados entornos.
La auditoría interna constituye una función de evaluación independiente. Sin embargo, existe en el seno de una entidad y bajo la autorización de la dirección con el ánimo de examinar y evaluar las actividades de la entidad. La función principal del auditor interno es ayudar a la dirección en la realización de sus funciones, asegurando:
Au
dit
orí
a in
form
átic
a1.1.- Concepto de Auditoria
La salvaguardia del inmovilizado material e inmaterial de la entidad.
La exactitud y fiabilidad de los registros contables. El fomento de la eficiencia operativa La adhesión a las políticas de la entidad y el
cumplimiento de sus obligaciones legales.
Au
dit
orí
a in
form
átic
a1.1.- Concepto de Auditoria
El auditor interno está casi siempre ocupado con la adecuación de los controles sobre las actividades mecanizadas, así como con la eficiencia y eficacia de los procedimientos empleados desde el punto de vista de los costos.
Au
dit
orí
a in
form
átic
a1.1.- Concepto de Auditoria
La auditoría externa constituye una función de evaluación independiente y externa a la entidad que se examina. En la mayoría de las empresas, se contrata anualmente la realización de una auditoría de los estados financieros por parte de un contador público independiente, bien voluntariamente o bien por obligación legal.
Au
dit
orí
a in
form
átic
a1.1.- Concepto de Auditoria
El objetivo principal de una auditoria externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera.
VULNERABILIDADES Software malicioso (malware): Virus: software mal intencionado que se
adjunta a programas o archivo de datos con el proposito de ejecutarse
Gusanos: son programas independientes no necesitan del humano para ejecutarse por eso se esparcen mas rapido que los virus
Caballos de troya: es un programa de software parece ser benigno pero hace algo inesperado
Spyware: vigilan las actividades de navegacion del usuario en la web y presentan publicidad
Hackers: individuo que intenta obtener acceso no autorizado a un sistema de computo(craker: es con intenciones cirminales
Spoofing : redireccionamiento en la web Snifer: programa que vigila la inf. Que
viaja en una red Cibervandalismo Delito informático Amenazas internas Vulnerabilidad del software
MECANISMOS DE PROTECCIÓN
Contra-ataques Cualquier técnica, procedimiento y otra medida que
reduce la vulnerabilidad Debilitan las amenazas o las hacen menos probables Las medidas de protección administrativas se llaman
controles
POLÍTICAS DE SEGURIDAD
Especifica las características de seguridad que un sistema debe observar y proveer
Especifica las amenazas contra las que la organización debe protegerse y cómo debe protegerse
Aplica a los activos de información y otros activos
Entorno de la Seguridad InformáticaAseguramiento de la continuidad del
negocio
Educación
Plano Normativo
ArquitecturaArquitecturaD
isp
on
ibilid
ad
Co
nfid
en
cia
lida
d
Inte
grid
ad
Procedimientos
&
Requerimientos
Infraestructura Física y de Servicios(Electricidad, Agua, Aire Acondicionado, Telefonía)
Comunicaciones( Ruteadores, Cableado, Concentradores)
Usu
ario
s Rem
oto
sSistemasSistemas OperativosOperativos(Windows, Unix, Netware)
AplicacionesAplicaciones
Servidores Web
Herramientas de apoyo(Base de Datos, Compiladores, Mensajería)
Pla
n d
e c
on
tin
ge
nc
ia
Res
gu
ard
o
Mo
nit
ore
oProcesoscontinuos
Seguridad Lógica
Seguridad Física
6
Arquitectura de seguridadArquitectura de seguridad
Activos Informáticos- Información en Bases de Datos,
Bases documentarias y archivos- Sistemas Operativos- Información que circula por equipos de
red (ruteadores, cableado, switches,conmutador telefónico)
- Mensajes y buzones de Correo Electrónico
- Servicios de Web
Usuarios y custodios
- Grupo de Control- Oficina de Seguridad- Unidades Informáticas- Administradores de Infraestructura- Soporte- Responsables de Información- Usuarios
UsanCreanProtegenAdministran
Objetivos de Seguridad
Control de Acceso
Confiden-cialidad
Integridad de datos
NoRepudio
Disponi-bilidad
Identificacióny
Autenticación
• Contraseñas · Redundancia • Listas de Control de Acceso · Réplicas de información•Tarjetas inteligentes · Respaldo de información• Firewall · Antivirus• Cifrado de datos · Monitoreo
Técnicas y mejores prácticas
Man
ejo
de
Po
líti
cas
Vig
ilan
cia,
Co
ntr
ol y
Seg
uim
ien
to d
eL
inea
mie
nto
s d
e S
eg
uri
da
d I
nfo
rmát
ica
Administración
Co
nci
enti
zac
ión
y c
ult
ura
de
seg
uri
da
d
PARA DISCUTIR:
¿Cuál es el rol de la Alta Gerencia en la seguridad informática?
¿Cuál es el rol del usuario en la seguridad informática?
¿ Cuál es el rol de la auditoría?
¿Encriptación y certificados digitales?