CEAP-UCV Seguridad Informática

3,775 views
3,664 views

Published on

Especialización Mercadeo para Empresas UCV 2009-1. Sistemas de Información, Tema Seguridad Informática.

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,775
On SlideShare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
111
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

CEAP-UCV Seguridad Informática

  1. 1. SEGURIDAD INFORMATICA Integrantes: Palacios, Doris Santander, Nataly
  2. 2. COMPANIAS SOCIOS PROVEEDORES
  3. 3. SISTEMAS DE INFORMACION
  4. 4. TERMINOS RELACIONADOS ACTIVO: Recurso del S.I. relacionado con la organización correcta y alcance de objetivos propuesto. AMENZA: Evento que puede desencadenar incidente en la organización. IMPACTO: Medir la consecuencia al materializarse una amenza. RIESGO: Posibilidad de que se produzca un impacto determinado. VULNERABILIDAD: Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. ATAQUE: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. DESASTRE O CONTINGENCIA: Interrupción de la capacidad de acceso a información necesarias para la operación normal de un negocio.
  5. 5. DEFINICIONES Técnicas desarrolladas para proteger los equipos informáticos individuales y conectados en una red frente a daños accidentales o intencionados. Estos daños incluyen el mal funcionamiento del hardware, la pérdida física de datos y el acceso a bases de datos por personas no autorizadas Estructura de control establecida para gestionar la disponibilidad, integridad, confidencialidad y consistencia de los datos, sistemas de información y recursos informáticos
  6. 6. IMPORTANCIA Y OBJETIVOS La S.I. es importante porque: Asegura que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. OBJETIVOS Los activos son los elementos que la seguridad informática tiene como objetivo proteger, como mencionamos anteriormente los activos son los recursos del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos
  7. 7. CLASIFICACION DE LOS OBJETIVOS INFORMACION: En éste grupo se encuentran los activos que conservan la información registrada, bien sean medios físicos o electrónicos. Desde el punto de vista de la empresa: Estudio de las características y estadísticas del lenguaje que nos permitirá su análisis desde un enfoque matemático, científico y técnico Desde el punto de vista de sistemas: Conjunto de datos propios que se gestionan y mensajes que se intercambian entre personas y/o maquinas en una organización.
  8. 8. IMPORTANCIA Y OBJETIVOS HARDWARE SOFTWARE
  9. 9. TIPOS DE SEGURIDAD Desde el punto de vista de la empresa, uno de los problemas más importantes puede ser el que está relacionado con el delito o crimen informático, bien por factores externos o internos. SEGURIDAD FISICOS LOGICOS
  10. 10. TIPOS DE SEGURIDAD Seguridad Física: consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial
  11. 11. TIPOS DE SEGURIDAD Seguridad Lógica: consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Restringir el acceso a los programas y archivos Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. Que la información recibida sea la misma que ha sido transmitida
  12. 12. ATAQUES Y DELITOS INFORMATICO SABOTAJE comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema El SABOTAJE va dirigido a causar danos físicos y se debe a fenómenos de: INTERCEPTACIO INTERRUPCION MODIFICACION GENERACION N Se daña, pierde o Acceso no Acceso a la deja de funcionar autorizado que Creación de información por un punto del cambia el entorno nuevos objetos parte de personas sistema, su para su beneficio, dentro del no autorizadas, detección es Ej: Modificación sistema, Delitos uso de privilegios inmediata. de bases de de falsificación no adquiridos. Ej: Destrucción del datos, Ej: Añadir Ej: Copias ilícitas Hardware, Borrado Modificación de transacciones en de programas, de datos, Fallas Mensajes la red, añadir escucha en línea en sistema transmitidos en registros en BD de datos operativo una red
  13. 13. ATAQUES Y DELITOS INFORMATICO Cracker: Rompe de forma ilegal la seguridad de un sistema. Bombas Lógicas: son ejecutadas tras un mandato que da el programador. Eliminación de datos, que se ejecute a una hora especifica. Script kiddie: Inexperto que usa programas descargados de Internet para atacar los sistemas.
  14. 14. ATAQUES Y DELITOS INFORMATICO FRAUDE INGENIERIA SOCIAL PHISING ENTORNO WEB MASCARADA VIRUS-GUSANOS- CABALLO DE TROYA
  15. 15. ATRIBUTOS CONFIDENCIALID DISPONIBILIDA INTEGRIDAD AD D ¿Qué se puede ¿Quien podrá De que manera y hacer con los acceder a los cuando se puede activos? activos? acceder a los activos? AUTENTICACIO NO REPUDIO N SI UN S.I. CUMPLE CON ESTOS PRINCIPIOS DIREMOS QUE LOS DATOS ESTAN PROTEGIDOS Y SEGUROS
  16. 16. POLITICAS DE SEGURIDAD INFORMATIC IMPLEMENTACION:    Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias.  Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización.  Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan.  Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza.
  17. 17. POLITICAS DE SEGURIDAD INFORMATIC PROPORCIONA INFORMACION ENTRENAMIENTO
  18. 18. POLITICAS DE SEGURIDAD INFORMATIC AREAS QUE DEBE CUBRIR  Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados.  Un procedimiento para administrar las actualizaciones.  Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente.  Un plan de recuperación luego de un incidente.  Un sistema documentado actualizado.
  19. 19. POLITICAS DE SEGURIDAD INFORMATIC DEFINICION DE NECESIDADES Identificación de las necesidades  Personas y funciones.  Materiales, servidores y los servicios que éstos brindan.  Esquematización de la red (esquema de direcciones, topologías físicas y lógicas, etc.).  Lista de los nombres de dominio de la empresa.  Infraestructura de la comunicación (routers, conmutadores, etc.).  Información delicada. Análisis de los riesgos  Evaluar los riesgos.  Estimar probabilidad.  Estimar su impacto. Implementación Establecer métodos y mecanismos para que los sistemas sean seguros.
  20. 20. MARCO LEGAL EN VENEZUELA LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS GACETA 37.33 OCTUBRE 2001  Proteger los sistemas de información. OBJETIVOS  Prevenir y sancionar los delitos en contra de los sistemas de tecnología de la información.
  21. 21. MARCO LEGAL EN VENEZUELA Art. 6 ACCESO Prisión de 1 a 5 años. INDEBIDO Multa de 10 a 50 U.T. Prisión de 4 a 8 años. Art. 7 SABOTAJE Multa de 400 a 800 O DAÑO. U.T. Prisión de 4 a 8 años. ESPIONAJE Multa de 400 a 800 U.T. Art. 11 La pena aumentara si se INFORMATICO . ve afectada la Seguridad de Estado.
  22. 22. Impor tancia de la Seguridad de la Información en las Empresas y el Mercadeo. La Información es uno de los activos más importantes de la empresa, Hoy en día muchas empresas usan la información como una valiosa arma competitiva, Conocer a los clientes y saber sus preferencias es un recurso vital en el desarrollo de productos y estrategias de mercadeo. Poder conocer con exactitud los datos básicos de segmentación del cliente (sexo, edad, preferencias básicas, etc) y tal vez poder ir más allá en el conocimiento (preferencias personales, aficiones, gustos básicos, marcas preferidas) resultan recursos muy valiosos para las empresas. Los datos recogidos de los clientes, formarán bases de clientes, de usuarios registrados y de posibles compradores, quienes serán susceptibles de recibir información actualizada de productos y servicios ofrecidos.
  23. 23. Impor tancia de la Seguridad de la Información en las Empresas y el Mercadeo. En este entorno, la recopilación de bases de datos servirá a las empresas para: • Mantener comunicación constante con los clientes (mail, teléfono, correo etc) • Conocer las tendencias de compra del mercado objetivo. • Personalizar la atención a los usuarios. Es importante destacar que la "personalización", es considerada como la quinta P en la mezcla de mercadotecnia. • Generar estrategias de branding y publicidad. Cuando estamos ofreciendo, estamos generando publicidad constante al mismo tiempo. • Utilizar segmentos específicos de clientes para colocar productos específicos llegando de manera directa al comprador o usuario. • Comentar las novedades, promociones y noticias relacionadas con el negocio y en algunas ocasiones con el sector al que se dedica la empresa. En fin, mantener bases de datos, resulta un instrumento de información muy valioso y que puede ser aprovechado efectivamente en la generación de ventas y utilidades.
  24. 24. Consejos para disminuir la pérdida de información digital en una empresa 1. Establecer Políticas de Seguridad que cubran toda la Información de la Compañía . Esto incluye identificar al propietario de la información y señalar a que personas se les permite acceder a ella y en qué momento. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, contratistas y a cualquier otra persona asociada a la empresa. 3. Asegurar el "Elemento Humano". Las personas son el elemento más importante de un programa de Seguridad de la Información. Al fin y al cabo, la difusión de información está bajo su control. La mayor cantidad de robos y fraudes en las empresas se realizan desde adentro, es decir, lo llevan a cabo el personal de la misma empresa; también no debemos perder de vista que generalmente los delitos los han cometido personas de “mucha confianza” y que “casualmente” ocupaban cargos muy importantes. El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad , son el medio más adecuado para advertir a los empleados sobre sus responsabilidades. Si un empleado expone secretos intencionalmente, éste permite terminar el contrato o demandar. Las empresas deben estar alertas y realizar constantemente auditorias según sea el caso e instalar preventivamente lo que sea necesario según el caso, para mantener en control las herramientas de trabajo
  25. 25. Consejos para disminuir la pérdida de información digital en una empresa 1. Utilizar Barreras Físicas de Seguridad. Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizados para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos etc. 3. Actualizar sus Herramientas Electrónicas de Seguridad. La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos. Los controles de acceso claves en PCs y redes, firewalls y aplicaciones de control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos. 5. Adoptar una Estrategia para Planes de Contingencia y Manejo de Incidentes. El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.
  26. 26. Videos de Consulta A través de los siguientes link accederás a definiciones, peligros y medidas de seguridad para resguardar la información: http://www.youtube.com/watch?v=GB8i2-lwgMc Consejos de Seguridad y peligros que atravesamos en la web: http://www.youtube.com/watch?v=86cr-EfBz1o
  27. 27. BIBLIOGRAFIA Servicios de inteligencia en Marketing e Internet (2001). En: http://www.latencia.com/auditorias_seguridad.html. [Consulta: 2009, 15 de mayo.] Forma PYME. En: http://www.formapyme.com/. [Consulta: 2009, 15 de mayo.] Wachivia (2009). En: https://www.wachovia.com. [Consulta: 2009, 15 de mayo.] Delitos Informáticos en Venezuela. (2004). En: http://delitosinformaticosvenezuela.com/empresas. [Consulta: 2009, 15 de mayo.]

×