Your SlideShare is downloading. ×
0
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
seguridadinformatica
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

seguridadinformatica

31

Published on

AUDITORIA DE SISTEMAS …

AUDITORIA DE SISTEMAS
INGENIERÍA INFORMÁTICA
UNICIENCIA

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
31
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Horarios de funcionamiento Restricciones Normas Autorizaciones Denegaciones Perfiles de usuario Planes de emergencia Protocolos
  • 2. La infraestructura computacional Objetivos Los usuarios La información
  • 3. Usuarios Programas maliciosos Errores de programación Amenazas Intrusos Un siniestro (robo, incendio, inundación) Personal técnico interno Fallos electrónicos o lógicos Catástrofes naturales
  • 4. CLASIFICACIÓN DE LOS ATAQUES O AMENAZAS. • Amenazas por el origen. Amenazas internas: Entre el 60 y 80 % de los incidentes de red son causados desde dentro de la misma. Amenazas externas: Amenazas que se originan fuera de la red (Internet). • Amenazas por el efecto. Robo y/o Destrucción de información. Anulación del funcionamiento de los sistemas o efectos que tiendan a ello. Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc. Robo de dinero, estafas,... • Amenazas por el medio utilizado. Virus informático Phishing o Ingeniería social. Denegación de servicio. Spoofing: de DNS, de IP, de DHCP, etc.
  • 5. AMENAZA Usuarios (Permisos sobredimensionados) CLASIFICACIÓN Amenaza por el origen - Interno Programas maliciosos (Virus, Troyanos Gusanos) Amenaza por medio utilizado Errores de programación Amenaza por medio utilizado Intrusos (Hackers – Acceso por internet a la red Interna de la org.) Amenaza por el origen - Externo Un siniestro (robo, incendio, inundación) Amenaza por el efecto Personal técnico interno Amenaza por el origen - Interno Fallos electrónicos o lógicos Amenazas por el efecto Catástrofes naturales (terremotos, rayos, maremotos, inundaciones) Amenazas por el efecto PROTECCIÓN Asegurar que los usuarios solo manejen la información que necesitan para desempeñar sus funciones. Controlar bloqueos de acceso a la información y a los módulos. Verificar con continuidad claves de usuario. Verificar con continuidad la originalidad y tiempo de caducidad de los antivirus, la activación de cortafuegos y bloqueos de programas espía. Realizar continuamente limpiezas. Obtener todos los programas y todas las aplicaciones de sitios oficiales. Ejemplo Adobe, Instaladores de impresoras. Verificar con continuidad la activación de cortafuegos y bloqueos de programas espía. Los sistemas de prevención de intrusos o IPes. Sistemas de seguridad físicos. Cámaras, sensores de activación, de humo. Puertas de contención. Backups a otras sedes. Los sistemas de prevención de intrusos o IPes, y firewalls son mecanismos NO efectivos en amenazas, no estan orientados al tráfico interno. No la podemos evitar, solo prevenir con la educación del usuario y con el código de ética, políticas, manuales de funcionario o reglamento interno de trabajo. También con un contrato legal donde especifique las leyes que cubre este tipo de amenazas y sus consecuencias legales. Mantenimiento preventivo de equipos informáticos e instalaciones eléctricas de la organización. Sistemas de apantallamiento, UPS y reguladores de energía, puestas a tierra etc. No se puede tener una solución o protección para este tipo de amenaza. Solo tener copias de la información en diferentes lugares de la organización.
  • 6. El Phishing ¿Qué es el Phishing? El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta. ¿En qué consiste? Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es. ¿Cómo lo realizan? El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico.
  • 7. El Spoofing Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación, en función de la tecnología utilizada. Entre ellos tenemos IP spoofing (quizás el más conocido) ARP spoofing DNS spoofing Web spoofing Email spoofing GPS spoofing Aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
  • 8. La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo. En su forma general contiene cuatro fases
  • 9. EL Análisis de Riesgo incluye las siguientes actividades y acciones: 1. Identificación de los activos vulnerables e importantes. 2. Valoración de los activos identificados: Teniendo en cuenta los requisitos legales y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. 3. Identificación de riesgo, amenazas y vulnerabilidades importantes para los activos identificados. 4. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. 5. Cálculo del riesgo. Después de efectuar el análisis debemos determinar las acciones a tomar respecto a las amenazas y riesgos que se identificaron. Las acciones pueden ser: 1. Controlar el riesgo - Fortalecer los controles existentes y/o agregar nuevos controles. 2. Compartir el riesgo - Mediante socializaciones y manuales. 3. Aceptar el riesgo - Se determina que el nivel de exposición es adecuado y por lo tanto se acepta. 4. Eliminar el riesgo – si es posible.
  • 10. Clasificación de Riesgo. Involucra directamente a la información o los datos que se manejan. La clasificación de datos tiene el propósito de garantizar la protección de datos y significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de acceso a los datos e informaciones.
  • 11. Reducción de Riesgo La reducción de riesgo se logra a través de la implementación de Medidas de protección, basados en los resultados del análisis y de la clasificación de riesgo, además implementa la socialización y capacitación a los usuarios conforme a las medidas.
  • 12. MATRIZ PARA EL ANÁLISIS DE RIESGO La Matriz para el Análisis de Riesgo, es una Herramienta para analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones. La Matriz no nos dará un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de información) de la institución, sino una mirada aproximada y generalizada de estos. http://protejete.wordpress.com/descargas/
  • 13. MATRIZ PARA EL ANÁLISIS DE RIESGO formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente 1 = Insignificante (incluido Ninguna) 2 = Baja 3 = Mediana 4 = Alta El Riesgo se agrupa en tres rangos y se aplica en tres diferentes colores. Bajo Riesgo = 1 – 6 (verde) Medio Riesgo = 8 – 9 (amarillo) Alto Riesgo = 12 – 16 (rojo)
  • 14. Alimentación de la Matriz La Matriz contiene una colección de diferentes Amenazas (campos verdes) y Elementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.
  • 15. Ejemplo: existe una gran probabilidad que roben documentos y equipos en la oficina, porque ya entraron varias veces y no se cuenta todavía con una buena vigilancia nocturna de la oficina, alarmas o empresas de seguridad, entonces se tiene una gran probabilidad en este momento de que se genere más robos y la probabilidad de robar los portátiles con información importante de datos especiales de la empresa o se pueden robar un documento que está encerrado en un archivador con llave también con datos importantes de la oficina (es menos probable que se van a llevar este documento).

×