Seguridad

1,562 views
1,499 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,562
On SlideShare
0
From Embeds
0
Number of Embeds
131
Actions
Shares
0
Downloads
65
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Seguridad

  1. 1. SEGURIDAD INFORMÁTICA Administración de Centros de Información Ing. Carlos Alfredo Gil Narvaez
  2. 2. Seguridad  La necesidad de mantener la reserva y confidencialidad de la información relacionada a la organización como a sus usuarios o clientes es crítica; es por ello que se debe implantar un Sistema de Seguridad Informática, en el cual se incluyen un conjunto de políticas, procedimientos y estrategias que permitirá mantener y mejorar la confidencialidad, integridad y disponibilidad de los sistemas informáticos y de la información.
  3. 3. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  4. 4. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  5. 5. ¿Que es el Riesgo?  Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablemente el logro de los objetivos estratégicos, operacionales, de cumplimiento y/o reporte. Riesgo = P(posibilidad u ocurrencia) x I(impacto) Un evento es un acontecimiento procedente de factores internos (infraestructura, personal, procesos, tecnología) o externos (económicos, medioambientales, político, sociales, tecnológicos) que tiene un impacto negativo para la Compañía.
  6. 6. Principales Categorías de Riesgo  Riesgo Estratégico  Riesgo de Prestigio  Riesgo de Cumplimiento  Riesgo Operacional  Riesgo de Estrategia de Salida  Riesgo País  Riesgo Contractual  Riesgo de Acceso  Riesgo Sistémico y de Concentración
  7. 7. Gestión del Riesgo: Enfoque Metodológico
  8. 8. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  9. 9. Incidentes relevantes
  10. 10. Incidentes relevantes
  11. 11. Incidentes relevantes
  12. 12. Incidentes relevantes
  13. 13. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  14. 14. Seguridad de la Información  La seguridad de la información consiste en procesos y controles diseñados para proteger la información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de:  asegurar la continuidad del negocio;  minimizar posibles daños al negocio;  maximizar oportunidades de negocios.
  15. 15. Seguridad de la información (Cont…)  La seguridad de la información se caracteriza aquí como la preservación de:  su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;  Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos;  Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran
  16. 16. Alcance de la seguridad  Tecnologías.  Sistemas aplicativos  Base de Datos  Computadoras portables  Correo electrónico  Internet/Intranet  Cintas Magnéticas  CD  Telefonía  Transmisiones satelitales  Video Conferencias  DVD  Documentos Impresos  Planillas e informes de trabajo  Publicaciones internas  Publicaciones a terceros  Comprobantes Legales  Planos  Manuales y otros  Gente  Conocimiento propio de las personas  Documentación de la compañía fuera de la misma
  17. 17. Sistema de Gestión de la Seguridad  El Sistema de Gestión de Seguridad de la Información es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información.  El propósito de un sistema de gestión de la seguridad es garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías.  La definición de la información crítica de la información es un factor clave el diseño de un sistema de seguridad.
  18. 18. Análisis de la información
  19. 19. Ciclo del proceso.
  20. 20. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  21. 21. Amenazas  Información Privada compartida en la Red  Accesos no Autorizados a la Información de la empresa.  Interrupción de los Servicios Informáticos  Recepción de mails engañosos  Claves de usuarios compartidas
  22. 22. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP-ISO/IEC 17799:2007
  23. 23. Requerimientos legales y/o regulatorios
  24. 24. NTP-ISO/IEC 17799: 2007  Esta norma contiene 11 cláusulas de control de seguridad y una cláusula introductoria conteniendo temas de evaluación y tratamiento del riesgo: a)Política de Seguridad b)Organizando la seguridad de la Información c)Gestión de activos d)Seguridad en Recursos Humanos e)Seguridad física y ambiental f)Gestión de comunicaciones y operaciones g)Control de acceso h)Adquisición, desarrollo y mantenimientos de sistemas de información i)Gestión de incidentes de los sistemas de información j)Gestión de la continuidad del negocio k)Cumplimiento  Esta norma incluye 39 categorías que se describen mediante: Un objetivo de control declarando lo que se debe alcanzar Uno o más controles que pueden ser aplicados para alcanzar el objetivo
  25. 25. Beneficios  Permite minimizar los riesgos.  Proteger la información crítica, a través de una gestión estructurada y permanente, sobre la base de un análisis y evaluación del riesgo.  Permite lograr prácticas efectivas en la gestión de seguridad, considerando controles de seguridad recomendados por las mejores prácticas de la industria.  Permite establecer un marco para la certificación ISO17799
  26. 26. SEGURIDAD DE LAS APLICACIONES Administración de Centros de Información Ing. Carlos Alfredo Gil Narvaez
  27. 27. Seguridad de las aplicaciones  La ingeniería del software proporciona metodologías, técnicas, modelos y herramientas para desarrollar sistemas de información de calidad que se ajusten a las necesidades del cliente. Los requisitos del sistema son el núcleo del proceso de desarrollo para poder ser debidamente integrados en los modelos de diseño y en la implementación final. Debemos ser capaces de crear una solución integrada y robusta que respete las necesidades del cliente.
  28. 28. Seguridad de las aplicaciones (cont…)  Por un lado los requisitos funcionales definen el comportamiento del sistema especificando funcionalidades que han de estar disponibles para satisfacer las necesidades del cliente, sin embargo estas funcionalidades pueden ser proporcionadas de varias formas, siendo los requisitos no funcionales los que indican como ha de construirse el software contemplando aspectos de rendimiento, restricciones de diseño, interfaces externas, calidad o seguridad.
  29. 29. Seguridad de las aplicaciones (cont…) • “Su acceso es 100% seguro porque usamos cifrado de 128 bits” • “¿Necesitamos seguridad? Usemos SSL.” • “¿Necesitamos autenticación fuerte? Lo resolveremos con PKI.” • “Usamos un cifrado secreto de grado militar.” • “Tenemos un excelente firewall.”  “Resolvamos las funcionalidades primero, y después agregaremos la seguridad.”
  30. 30. Seguridad en el Ciclo de Vida de un Proyecto
  31. 31.  Iniciación  Determinar genéricamente cuál será el valor que generará el producto.  Incluir en el equipo un miembro que será responsable por los aspectos de seguridad
  32. 32. • Elaboración • Recolección de requerimientos • Identificación de activos • Tangibles • Intangibles • Valuación de activos
  33. 33.  Construcción • Arquitectura detallada y patrones de diseño • Implementación • Pruebas • Seguridad, testing y aseguramiento de la calidad • Certificación
  34. 34.  Transición  Verificaciones sobre la documentación  Verificaciones sobre los procesos de manejo de bugs y manejo de incidentes  Verificaciones sobre las políticas de respaldo
  35. 35. Principios 1. Claridad 2. Calidad 3. Involucrar a todos los personajes clave 4. Usar tecnología probada 5. Operación a prueba de fallas 7. Privilegios apropiados 1. Mínimo privilegio 2. Privilegio necesario 8. Privilegios apropiados
  36. 36. Principios (cont…) 9. Interactuando con los Usuarios 1. Acerca de confiar en los usuarios 2. Ayude a los usuarios 3. Interfaces de usuario 10. Software de terceros 1. Código fuente 2. Verificación 11. Proteger o evitar la Manipulación de datos sensibles 12. ¡Ataque primero. En papel! 13. ¡Piense “fuera de la caja”! 14. ¡Sea humilde! 16. Las revisiones son su mejor aliado 1. Revisiones de diseño 2. Revisiones de código

×