Upload File

seguridad informática

29

Upload: jesenia-ocana-escobar

Post on 12-Jun-2015

190 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Seguridad informática
Page 2: Seguridad informática

Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar las disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.

Page 3: Seguridad informática

INFORMÁTICA

TV

RADIO

PC

IMPRESORA

FOTOCOPIADORA

INTERNET

(RECURSOS/SERVICIO)

Page 4: Seguridad informática

Es el método permitido por las empresas para proteger el sistema informático.

Personas de alto conocimiento en el sector informático cuyo fin tiene cumplir la información.

ETHICAL HACKING HACKER

Page 5: Seguridad informática

DATOSCONTRATOSPLANTILLASCUENTAS BANCARIASWEB

WEB

IMEI:Identificación del celular

IP:Identificación del equipo en la red

INFORMACIÓN

Page 6: Seguridad informática

GENERALIDADESLA FAMILIA ISONORMAS ISO 9 000NORMAS ISO 10 000NORMAS ISO 14 000NORMAS ISO 27 000

La información estándar ISO tiene sus siglas como significado “Organización Internacional de Normalización”.

CERTIFICACIÓN DE CALIDAD

Evalúa los productos que ofrece los proveedores para su exportación a

nivel internacional

NORMAS ISO

Page 7: Seguridad informática

Sistema de gestión de calidad, fundamentos, vocabulario, requisitos, elementos del sistema de calidad, directrices para la mejora del desempeño.

Guías para implementar sistemas de gestión de calidad, reportes técnicos, planes de calidad, gestión de proyectos, gestión de aspectos económicos.

ISO 10 000

ISO 9 000

Page 8: Seguridad informática

Sistema de gestión ambiental de las organizaciones. Principios ambientales, etiquetado ambiental, siclo de vida del producto programas de revisión ambiental auditorias.

Es el conjunto de estándares desarrollados o en fase de desarrollo por ISO e IEC , que proporciona un marco de la gestión de la seguridad de la información utilizable por cualquier tipo de organización pública o privada, grande o pequeña.

ISO 14 000

ISO 27 000

Page 9: Seguridad informática

La Certificación de Producto es un proceso mediante el cual se garantiza la calidad y/o las características de un producto final según lo establecido en una norma específica u otros documentos preestablecidos.Este proceso comprende la realización de auditorías en las empresas objeto de certificación, mediante la evaluación de los sistemas de calidad y de producción de las empresas, mediante la evaluación de ensayos de muestras tomadas en fábrica y de los productos finales.

PROCESO DE SERTIFICACIÓN

Page 10: Seguridad informática

Oficina Nacional De Gobierno Electrónico E Informática .es el órgano técnico especializado que depende del despacho de la PCM ”Presidencia Del Consejo De Ministros”.

TIPOS DE AMENAZASoEscalamiento de privilegios. oFraudes informáticos.oPuertos vulnerables abiertos.oViolación de la privacidad de los empleados.oDenegación de servicio.oÚltimos parches no instalados.oDestrucción de equipamiento.oDesactualización.oInstalaciones default.oPassword cracking.oExploits.

ONGEI

Page 11: Seguridad informática

ONGEI ENTIDAD

POLÍTICA DE SEG. INFORMÁTICA

DOCUMENTOS DE POLÍTICA

DE S.I.

REVISIÓN Y

EVALUACIÓN

CONTROL

GUíA DE IMPLEMENTACIÓN

CONTROL

GUÍA DE IMPLEMENTACIÓN

Revisión y planificación con el fin de asegurar su uso continuo.

Aprobar, publicar y comunicar.

a) Definición general S.I. objetivos globales.

b) El soporte de aspectos generales.

c) Evaluación y riesgo.d) Breve explicación de las

políticas.e) Responsabilidades e

incidencias.f) Referencia y sustentación.

a) Retroalimentación.b) Resultados.c) Acciones preventivas y correctivas.d) Resultado de revisiones.e) Desarrollo de proceso y cumplimiento.f) Posibles cambios que puedan afectar el

alcance de la organización.g) Tendencia relacionadas con amenazas y

vulnerabilidad.h) Incidentes reportados de seguridad de

información.i) Recomendaciones dadas por las

autoridades.

OBJETIVO: Definir y dar soporte a la S.I.

DOMINIO

Page 12: Seguridad informática

LA NORMA NTP Y SU ACTUALIZACIÓN

Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.

Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.

Page 13: Seguridad informática

LOS 11 DOMINIOS

1. POLÍTICA DE SEGURIDAD2. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD3. CLASIFICACIÓN Y CONTROL DE ARCHIVOS4. SEGURIDAD DE RECURSOS HUMANOS

5. SEGURIDAD FÍSICA Y DEL ENTORNO

6. GESTIÓNDE COMUNICACIONES Y OPERACIONES7. CONTROL DE ACCESOS

8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS9. GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN

10. GESTIÓN DE CONTINUIDAD DEL NEGOCIO

11. CUMPLIMIENTO

Page 14: Seguridad informática

Se necesita una política que refleje las expectativas dela organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.

Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.

1. POLÍTICA DE SEGURIDAD2. ASPECTOS ORGANIZATIVOS

PARA LA SEGURIDAD

Page 15: Seguridad informática

Inventario de los recursos de información de laorganización y con base en este conocimiento, debeasegurar que se brinde un nivel adecuado deprotección.

Necesidad de educar e informar a los empleadosactuales y potenciales sobre lo que se espera de ellosen materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.

3. CLASIFICACIÓN Y CONTROL DE ARCHIVOS

4. SEGURIDAD DE RECURSOS HUMANOS

Page 16: Seguridad informática

5. SEGURIDAD FÍSICA Y DEL ENTORNO

6. GESTIÓNDE COMUNICACIONES Y OPERACIONES

Responde a la necesidad de proteger las áreas, elequipo y los controles generales.

objetivos de esta sección son:• Asegurar el funcionamiento correcto y seguro

de las instalaciones de procesamiento de la información.

• Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información.

• Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.

• Garantizar la protección de la información en las redes y de la infraestructura de soporte.

• Evitar daños a los recursos de información e interrupciones en las actividades de la institución.

• Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.

Page 17: Seguridad informática

7. CONTROL DE ACCESOS 8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos.

Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

Page 18: Seguridad informática

9. GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN

10. GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados demanera que permitan una acción correctiva a tiempo.

Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de laorganización en caso de una falla grave o desastre.

Page 19: Seguridad informática

11.CUMPLIMIENTO

Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.

Page 20: Seguridad informática

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDADA2º

DOMINIO

1. Organización Interna

La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa.

Comité de gestión de seguridad de la información

La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información.

Coordinación de la seguridad de la información

La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.

Page 21: Seguridad informática

Asignación de responsabilidades sobre seguridad de la información

Deberían definirse claramente las responsabilidades.

Proceso de autorización de recursos para el tratamiento de la información

Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información.

Acuerdos de confidencialidadde confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente.

Contacto con autoridades

Deben ser mantenidos contactos apropiados con autoridades relevantes.

Contacto con grupos de interés especialDeben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales.

Page 22: Seguridad informática

Revisión independiente de la seguridad de la información.

alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran.

2. Seguridad en los accesos de terceras partesLa seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros.

Identificación de riesgos por el acceso de terceros

Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos.

Requisitos de seguridad cuando sea trata con clientes

Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.

Page 23: Seguridad informática

DOMINIOCLASIFICACIÓN Y CONTROL DE ACTIVOS

Respecto a las herramientas necesarias, se trata de elaborar unas bases de datos, para lo cual debería bastarte con los programas informáticos más habituales. Desde Internet es posible descargar modelos de hojas de inventario en Excel.Según vayas haciendo el recuento de las existencias físicas reales (tal como se les denomina en la jerga), producto a producto y referencia a referencia, y sepas el número de unidades que tienes de cada cosa, es importante que introduzcas esa cifra en una aplicación informática. Eso te permitirá comparar el dato con el que figura en tus archivos de control. En caso de que haya diferencias en los números, estaremos ante una desviación, ya sea negativa o positiva (que falten o sobren productos).

Si concluido este recuento resulta que tus existencias no coinciden finalmente con las que esperabas, has de hacer una valoración de esa desviación o desajuste para proceder a su regularización. Dicho de forma más sencilla: debes ajustar las cifras de tus libros de acuerdo con la realidad. Cuando realizas el recuento del inventario, estás obteniendo también los datos para tu inventario contable, y la regularización es por tanto “una regularización contable, que afecta al balance de la compañía”, explica Márquez de la Cuesta.

Page 24: Seguridad informática

TUS MÁRGENES DE MANIOBRAA modo de referencia, que sepas que siguiendo la llamada “clasificación ABC” las empresas suelen considerar admisible una desviación distinta dependiendo del tipo de producto. Para los artículos de clase A (los más valiosos para tu negocio), la desviación debería ser de cero; en la clase B se toleraría una máxima del +/-1%, mientras que en los productos de clase C se admite un margen máximo de hasta dos puntos porcentuales. Si los desajustes son graves, puedes plantearte hacer un análisis histórico de los movimientos de entrada y salida, en busca de posibles fallos en los registros que te aclaren los bailes de cifras y ayuden a evitar otros. “En ese caso –aclara Márquez de la Cuesta–, en lugar de una regularización contable lo que tendrías que hacer es la rectificación de un movimiento erróneo”.

Page 25: Seguridad informática

DOMINIO

LA SEGURIDAD DE LA INFORMACIÓN EN LOS RECURSOS HUMANOS

Se dedica a la gestión de Recursos Humanos

¿Qué es seguridad de la información?consiste en proteger uno de los principales activos de cualquier empresa: la información

Los tres fundamentos básicos de la seguridad en la información son:Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla.Integridad. La información debe ser correcta y completa.Disponibilidad. La información debe estar disponible siempre que sea necesario.

¿Qué tiene que ver la seguridad con los Recursos Humanos?

al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. deben gestionar adecuadamente este importante recurso de la empresa.

Page 26: Seguridad informática

¿No debe ser el departamento de Seguridad quien se encargue de estos temas?

no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la Organización. Cada área de Negocio juega su papel Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos.

Reclutamiento y salida de empleados

Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma.

ReclutamientoDefinición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio.

Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales.

Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos.

Page 27: Seguridad informática

Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado:• Asista a unas sesiones de formación donde se le introduzca en la normativa interna y

de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc.

• Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente.

Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión.

Salida de empleados

La salida de un empleado es un punto crítico de riesgo para la Organización. Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del emplea IT se ocupa de dar de baja sus accesos Este escenario acaba degenerando en problemas Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos

Page 28: Seguridad informática

Clasificación de las bajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería:

• Baja normal, si se produce en circunstancias normales y sin conflictos.• Baja cautelar, si se produce en circunstancias normales, pero con la que hay que

tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc.

• Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc.

Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar.

Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de:

• accesos físicos (llaves, cajas fuertes, llaves electrónicas)• accesos lógicos (email, acceso a la red y servidores, etc)• material de la empresa (portátil, móvil, etc)

Page 29: Seguridad informática

La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma:•realización de copias de seguridad de la información sensible•supervisión de los accesos hasta el día de la baja•cancelación preventiva de los accesos más críticos


SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA

Seguridad informática

PROGRAMACIÓN DEL MÓDULO SEGURIDAD INFORMÁTICA · Seguridad informática (SMR). 2018/2019 Departamento de Informática 3 1. Introducción El presente módulo, Seguridad Informática,

Seguridad informática

Seguridad Informática Tema 1: Introducción a la seguridad informática