Your SlideShare is downloading. ×
0
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seguridad Informatica En Los Sistemas De InformacióN

10,927

Published on

Ultimo Trabajo de SIA

Ultimo Trabajo de SIA

Published in: Education, Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
10,927
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
414
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Universidad Austral de Chile Facultad de Cs. Económicas y Administrativas Escuela de Auditoría Profesor :      Cristian Salazar Integrantes:    Rosa Galindo                        Herminda Peña                        Nemorino Mayorga                       Jorge Skorey Asignatura:     Sistemas de Información Adm. Carrera      :    Contador Auditor Seguridad Informática en los Sistemas de Información Valdivia, 10 de Diciembre 2009
  • 2. Introducción <ul><li>Temas a Tratar: </li></ul><ul><li>Seguridad Física, Delitos Informáticos </li></ul><ul><li>Seguridad Lógica y Amenazas lógicas </li></ul><ul><li>amenazas humanas y comunicaciones </li></ul><ul><li>Protección y Política de seguridad </li></ul>
  • 3. I. Seguridad Física y Delitos Informáticos <ul><li>&quot; Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada.. es la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia” </li></ul><ul><li>Leyes de Murphy </li></ul>
  • 4. Seguridad Física <ul><li>Seguridad Física consiste en la &quot; aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial ” </li></ul>Pero este es uno de los aspectos más olvidados a la hora de realizar el diseño de un sistemas informático.
  • 5. Seguridad Física <ul><li>Las principales amenazas que se prevén en la seguridad física son: </li></ul><ul><li>Desastres naturales, incendios accidentales tormentas e inundaciones. </li></ul><ul><li>Amenazas ocasionadas por el hombre. </li></ul><ul><li>Disturbios, sabotajes internos y externos deliberados. </li></ul>
  • 6. Seguridad Física <ul><li>Tipos de Desastres </li></ul><ul><li>Peligros más importantes en un centro de </li></ul><ul><li>Procesamiento de Información: </li></ul><ul><ul><li>Incendios </li></ul></ul><ul><ul><li>Inundaciones </li></ul></ul><ul><ul><li>Condiciones Climatológicas </li></ul></ul><ul><ul><li>Señales de Radar </li></ul></ul><ul><ul><li>Instalaciones Eléctricas </li></ul></ul><ul><ul><li>Ergonometría </li></ul></ul>
  • 7. Seguridad Física <ul><li>Acciones Hostiles </li></ul><ul><ul><li>Robo </li></ul></ul><ul><ul><li>Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. </li></ul></ul><ul><ul><li>El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro. </li></ul></ul><ul><ul><li>Fraude </li></ul></ul><ul><ul><li>Cada año, millones de dólares son sustraídos de empresas y, donde las computadoras han sido utilizadas como instrumento para dichos fines. </li></ul></ul><ul><ul><li>Sabotaje </li></ul></ul><ul><ul><li>El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. </li></ul></ul><ul><ul><li>Una de las herramientas más utilizadas son los Imanes, ya que con una ligera pasada la información desaparece. </li></ul></ul>
  • 8. Seguridad Física <ul><li>Control de Accesos </li></ul><ul><ul><li>Utilización de Guardias </li></ul></ul><ul><ul><li>Servicio de vigilancia, encargado del control de acceso a todas las personas de la empresa. </li></ul></ul><ul><ul><li>Una de las desventajas de su aplicación es el Soborno por u tercero para tener acceso a sectores donde no esté habilitado o autorizado. </li></ul></ul><ul><ul><li>Utilización de Detectores de Metales </li></ul></ul><ul><ul><li>Es un elemento sumamente práctico para la revisión de personas. </li></ul></ul><ul><ul><li>Utilización de Sistemas Biométricos </li></ul></ul><ul><ul><li>Tecnología que realiza mediciones en forma electrónica, guarda y compara características únicas para la identificación de personas. </li></ul></ul><ul><ul><li>Como son las: manos, ojos, huellas digitales y voz. </li></ul></ul>
  • 9. Seguridad Física <ul><ul><li>Control de Accesos </li></ul></ul><ul><ul><li>Verificación Automática de Firmas </li></ul></ul><ul><ul><li>Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. </li></ul></ul><ul><ul><li>Seguridad con Animales </li></ul></ul><ul><ul><li>Son utilizadas en grandes extensiones de terrero, el costo de cuidado y mantenimiento se disminuye considerablemente con este tipo de sistema. Su desventaja es que los animales pueden ser engañados para lograr el acceso deseado. </li></ul></ul><ul><ul><li>Protección Electrónica </li></ul></ul><ul><ul><li>Se llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de censores conectados a centrales de alarmas. </li></ul></ul><ul><ul><li>Ejemplos: Barreras Infrarrojas y de Micro-Ondas – Detector Ultrasónico- Detectores Pasivos de alimentación- Sonorización y dispositivo luminoso – Circuito cerrado de televisión – Edificios Inteligentes. </li></ul></ul>
  • 10. Delitos Informáticos <ul><li>&quot; (...) ladrón, trabajaba para otros: ladrones más adinerados, patrones que proveían el exótico software requerido para atravesar los muros brillantes de los sistemas empresariales, abriendo ventanas hacia los ricos campos de la información. Ladrón, Cometió el clásico error, el que había jurado no cometer nunca. Robo a sus jefes.&quot; </li></ul><ul><li>Neuromante </li></ul>
  • 11. Delitos Informáticos <ul><li>El uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho. </li></ul><ul><li>La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos: </li></ul><ul><ul><li>Fraudes cometidos mediante manipulación de computadoras </li></ul></ul><ul><ul><li>Manipulación de los datos de entrada </li></ul></ul><ul><ul><li>Daños o modificaciones de programas o datos computarizados </li></ul></ul>
  • 12. Delitos Informáticos <ul><li>Legislación y Delitos Informáticos en Chile. </li></ul><ul><li>Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos. La ley 19.223 publicada en el Diario Oficial 7 de junio de 1993. </li></ul><ul><li>Señala que la destrucción o inutilización de un sistema de tratamiento de información puede ser castigado con prisión de 1,5 a 5 años. </li></ul><ul><li>Si esa acción afectara los datos contenidos en el sistema, la prisión se establecería entre los 3 a 5 años. </li></ul><ul><li>El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en éste, también es pasible de condenas de hasta 5 años de cárcel. </li></ul><ul><li>Dar a conocer la información almacenada en un sistema puede ser castigado con prisión de hasta 3 años, pero si el que lo hace es el responsable de dicho sistema puede aumentar a 5 años. </li></ul>
  • 13. II. Seguridad Lógica y Amenazas lógicas
  • 14. COBIT <ul><li>Marco de gobierno de Ti que se estableció en 1996 ya esta en su edición 4,1 </li></ul><ul><li>Para uso cotidiano de auditores y gerentes </li></ul><ul><li>Objetivos de control de tres niveles: </li></ul><ul><li>Dominios, procesos, y actividades </li></ul><ul><li>Usuarios son también auditores que usan para soportar sus opiniones sobre el control de las empresas y determinar el mínimo control requerido </li></ul><ul><li>Son 34 procesos que forman 4 dominios </li></ul>
  • 15. COBIT <ul><li>Son 34 procesos que forman 4 dominios </li></ul><ul><li>Planificación y Organización </li></ul><ul><li>Adquisición e Implementación </li></ul><ul><li>Reparto Y Soporte </li></ul><ul><li>Monitoreo (Supervisión) y Evaluación </li></ul>
  • 16. COBIT <ul><li>El monitoreo siendo el de </li></ul><ul><li>M1 Monitorear los Procesos. </li></ul><ul><li>M2 Evaluar lo adecuado del Control Interno. </li></ul><ul><li>M3 Obtener Aseguramiento Independiente. </li></ul><ul><li>M4 Proporcionar Auditoría Independiente </li></ul>
  • 17. Seguridad Lógica Controles de Acceso Internos <ul><li>PRINCIPIO: Integridad </li></ul><ul><li>1. Algo que el usuario conoce </li></ul><ul><li>PIN </li></ul><ul><li>Contraseña </li></ul><ul><li>clave criptográfica </li></ul>
  • 18. Ejemplo de verificación de PIN
  • 19. Seguridad Lógica Controles de Acceso Internos <ul><li>PRINCIPIO: Integridad </li></ul><ul><li>2. Algo que el usuario posee </li></ul><ul><li>Tarjeta magnética </li></ul><ul><li>llave </li></ul>
  • 20. Ejemplo de Tarjeta
  • 21. Seguridad Lógica Controles de Acceso Internos <ul><li>PRINCIPIO: Integridad </li></ul><ul><li>3. Algo que el usuario es </li></ul><ul><li>Reconocimiento de voz </li></ul><ul><li>Huella digital </li></ul>
  • 22. Ejemplo huella digital
  • 23. Seguridad Lógica Controles de Acceso Internos <ul><li>PRINCIPIO: Integridad </li></ul><ul><li>4. Algo que el usuario es capaz de hacer </li></ul><ul><li>Patrón de escritura </li></ul>
  • 24. Ejemplo Patrón de Escritura
  • 25. Seguridad Lógica Controles de Acceso Externos <ul><li>PRINCIPIO: Confidencialidad </li></ul><ul><li>Dispositivos de control de puertos </li></ul><ul><li>Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem. </li></ul>
  • 26. <ul><li>2. Firewalls/ Puertas de Seguridad </li></ul><ul><li>Filtran el flujo de acceso entre dos redes uno privado y otro externo. Pueden permitir acceso del privado (interno) al externo, mientras bloqueando acceso del externo al privado. </li></ul>Seguridad Lógica Controles de Acceso Externos <ul><li>PRINCIPIO: Confidencialidad </li></ul>
  • 27. Seguridad Lógica Controles de Acceso Externos <ul><li>PRINCIPIO: Integridad </li></ul><ul><li>3. Control de Acceso a Consultores </li></ul><ul><li>Administración debe tener en cuenta la composición especial de sus perfiles para personal externo contratados </li></ul>
  • 28. Seguridad Lógica Controles de Acceso Externos <ul><li>PRINCIPIO: Confidencialidad </li></ul><ul><li>4. Accesos Públicos </li></ul><ul><li>Deben existir medidas de seguridad especiales para prevenir amenazas proveniente de sistemas consultados por el publico </li></ul>
  • 29. <ul><li>Tal como se hacen las preguntas COBIT al TI se pueden preguntar de Seguridad Lógica </li></ul><ul><li>¿Están alineadas las estrategias de SL y del negocio? </li></ul><ul><li>¿La empresa está alcanzando un uso óptimo de sus recursos? </li></ul><ul><li>¿Entienden todas las personas dentro de la organización los objetivos de SL? </li></ul><ul><li>¿Se entienden y administran los riesgos de TI con la política de SL? </li></ul><ul><li>¿Es apropiada la calidad de los sistemas de SL para las necesidades del negocio? </li></ul>Controles de Acceso PRINCIPIO : Integridad
  • 30. Seguridad Lógica Niveles de Seguridad Lógica <ul><li>Principio: </li></ul><ul><li>Nivel D </li></ul><ul><li>Este nivel contiene sólo una división </li></ul><ul><li>está reservada para sistemas que han sido evaluados </li></ul><ul><li>no cumplen con ninguna especificación de seguridad. </li></ul>
  • 31. Seguridad Lógica Niveles de Seguridad Logica <ul><li>Principio: </li></ul><ul><li>Nivel C1 PROTECCION DISCRECIONAL </li></ul>
  • 32. Seguridad Lógica Niveles de Seguridad Logica <ul><li>Principio: </li></ul><ul><li>Nivel C2 PROT. DE ACCESO CONTROLADO </li></ul>
  • 33. Seguridad Lógica Niveles de Seguridad Logica <ul><li>Principio: </li></ul><ul><li>Nivel B1 SEGURIDAD ETIQUETEADA </li></ul>
  • 34. Seguridad Lógica Niveles de Seguridad Logica <ul><li>Principio: </li></ul><ul><li>Nivel B2 PROTECCION ESTRUCTURADA </li></ul>
  • 35. Seguridad Lógica Niveles de Seguridad Logica <ul><li>Principio: </li></ul><ul><li>Nivel B3 DOMINIOS DE SEGURIDAD </li></ul>
  • 36. Seguridad Lógica Niveles de Seguridad Lógica <ul><li>Principio: </li></ul>
  • 37. <ul><li>Nivel A Nivel A: Protección Verificada el nivel más elevado </li></ul><ul><li>un proceso de diseño, control y verificación </li></ul><ul><li>mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. </li></ul><ul><li>diseño verificado de forma matemática </li></ul><ul><li>análisis de canales encubiertos y de distribución </li></ul>Niveles de Seguridad Lógica
  • 38. <ul><li>Hackers </li></ul><ul><li>Espías </li></ul><ul><li>Terroristas </li></ul><ul><li>Espionaje Industrial </li></ul><ul><li>Criminales Profesionales </li></ul><ul><li>Vándalos (crackers) </li></ul>Actores incluyen… Amenazas Lógicas
  • 39. <ul><li>Herramientas Integradas/ Distribuidas </li></ul><ul><li>Programas o Script </li></ul><ul><li>Linea de comando </li></ul><ul><li>Agente Autonomo </li></ul><ul><li>Intervencion de communicacion </li></ul>Herramientas que usan… Amenazas Lógicas
  • 40. Amenazas Lógicas
  • 41. AMENAZAS HUMANAS 1. Patas de Palo y Parches De esta historia podemos obtener el perfil principal: · Un hacker es a todas luces, alguien con profundos conocimientos sobre la tecnología. · Tiene ansias de saberlo todo, de obtener conocimiento. · Le gusta (apasiona) la investigación. · Disfruta del reto intelectual y de rodear las limitaciones en forma creativa. · Busca la forma de comprender las características del sistema estudiado, aprovechar sus posibilidades y por último modificarlo y observar los resultados. · Dicen NO a la sociedad de la información y SI a la sociedad informada.
  • 42. 2. La actitud del Hacker <ul><li>Escriben programas que los otros hackers opinen que son divertidos y/o útiles y donar la fuente del programa para que sean utizados </li></ul><ul><li>Ayudar a probar y depurar sofware libre. </li></ul><ul><li>3. Recolectar y filtrar información útil e interesante y construir páginas Web o </li></ul><ul><li>documentos como FAQs y ponerlos a disposición de los demás. </li></ul>
  • 43. DEFINICIONES <ul><li>Definición de Hacker: Un Hacker es una persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión libre de información (Free Information), distribución de software sin costo y la globalización de la comunicación. </li></ul><ul><li>Crackers: Son hackers cuyas intenciones van más allá de la investigación. Es una persona que tiene fines maliciosos o de venganza, quiere demostrar sus habilidades pero de la manera equivocada o simplemente personas que hacen daño solo por diversión. </li></ul>
  • 44. DEFINICIONES <ul><li>Phreakers: actividad por medio de la cual algunas personas con ciertos conocimientos y herramientas de hardware y software, pueden engañar a las compañías telefónicas para que éstas no cobren las llamadas que se hacen. </li></ul><ul><li>Carding – Trashing: el carding, es el uso ilegitimo de las tarjetas de crédito pertenecientes a otras personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el hacking y el cracking, mediante los cuales se consiguen los números de las tarjetas. Y el Trashing, consiste en rastrear en las papeleras en busca de información contraseñas o directorios. </li></ul><ul><li>Personal: un 70% de los robos, sabotajes o accidentes con los sistemas informático son causados por el propio personal de la organización. </li></ul>
  • 45. Técnicas para asegurar el sistema <ul><li>Codificar la información : Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo. </li></ul><ul><li>Vigilancia de red . Zona desmilitarizada </li></ul><ul><li>Tecnologías repelentes o protectoras : cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad. </li></ul>
  • 46. Consideraciones de software <ul><li>Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia. </li></ul><ul><li>Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. </li></ul>
  • 47. COMUNICACION <ul><li>Consideraciones de una red </li></ul><ul><li>Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles. </li></ul><ul><li>Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo. </li></ul><ul><li>Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas. </li></ul>
  • 48. III. Amenazas humanas y Comunicaciones <ul><li>&quot;Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.&quot; </li></ul><ul><li>Art. 12 Declaración Universal de Derechos Humanos, 1948 </li></ul>
  • 49. IV. Políticas de Seguridad <ul><li>“ Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más... Más vale dedicar recursos a la seguridad que convertirse en una estadística.” </li></ul><ul><li>2001, A.S.S. B Orghello , C Ri Stian F Abian </li></ul>
  • 50. Políticas de Seguridad Informática RIESGO CONTROL PRONOSTICO PROYECCIÓN PROGRAMA NORMA PROCEDIMIENTO META ESTRATEGIA PLAN DECISIÓN PSI
  • 51. “ una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.” PSI
  • 52. Evaluación de Riesgo <ul><li>“ ¿Qué puede ir mal?” </li></ul><ul><li>· “¿Con qué frecuencia puede ocurrir?” </li></ul><ul><li>· “¿Cuáles serían sus consecuencias?” </li></ul><ul><li>· “¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?” </li></ul><ul><li>· “¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una </li></ul><ul><li>semana, cuanto tiempo?” </li></ul><ul><li>· “¿Cuál es el costo de una hora sin procesar, un día, una semana...?” </li></ul><ul><li>· “¿Cuánto, tiempo se puede estar off–line sin que los clientes se vayan a la </li></ul><ul><li>competencia?” </li></ul><ul><li>· “¿Se tiene forma de detectar a un empleado deshonesto en el sistema?” </li></ul><ul><li>· “¿Se tiene control sobre las operaciones de los distintos sistemas?” </li></ul><ul><li>· “¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en </li></ul><ul><li>condiciones de inhibir el procesamiento de datos?” </li></ul><ul><li>· “¿A que se llama información confidencial y/o sensitiva?” </li></ul><ul><li>· “¿La información confidencial y sensitiva permanece así en los sistemas?” </li></ul><ul><li>· “¿La seguridad actual cubre los tipos de ataques existentes y está preparada para </li></ul><ul><li>adecuarse a los avances tecnológicos esperados?” </li></ul><ul><li>· “¿A quien se le permite usar que recurso?” </li></ul><ul><li>· “¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores </li></ul><ul><li>privilegios sobre ese recurso?” </li></ul><ul><li>· “¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del </li></ul><ul><li>usuario?” y · ”¿Cómo se actuará si la seguridad es violada?” </li></ul>Eval. Económica Probabilidad Recurso a Proteger + +
  • 53. Ejemplo Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:
  • 54. Amenazas <ul><li>Una vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no exístela otra tampoco. </li></ul>Desastre del entorno (Seguridad Física). Amenazas del sistema (Seguridad Lógica). Amenazas en la red (Comunicaciones). Amenazas de personas (Insiders–Outsiders).
  • 55. Evaluación de Costo CR > CP CP > CS Luego CR > CP > CS minimizar maximizar Pto. equilibrio
  • 56. Estrategia de Seguridad <ul><li>¿Proactiva o Reactiva? </li></ul><ul><li>Implantación </li></ul><ul><li>Auditoria y Control </li></ul><ul><li>Plan de Contingencia </li></ul><ul><li>Equipos de Repuestos e Incidentes </li></ul><ul><li>Backups </li></ul>
  • 57. Conclusiones <ul><ul><li>Unos de los temas abordados fue la seguridad física , donde la adecuada evaluación y control es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. </li></ul></ul><ul><ul><li>El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables, los delitos Informáticos . La cuantía de los perjuicios así ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse. </li></ul></ul><ul><ul><li>Otro punto tratado fue la seguridad lógica tiene como tarea asegurar las metas globales de la seguridad informática: disponibilidad, integridad, y confidencialidad. Esto es alcanzado por el exitoso uso y administración de controles de acceso internos y externos, cumplimiento de estándares, y detección de amenazas lógicas . </li></ul></ul>
  • 58. Conclusiones <ul><ul><li>Rosita…. </li></ul></ul><ul><ul><li>Según estudios de seguridad , muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de tecnologías, otras son consecuencias de la falta de planeamiento de las mismas pero, donde la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos sistemas y es responsabilidad del administrador detectarlos y encontrar una solución. </li></ul></ul>
  • 59. Gracias por su Atención
  • 60. <ul><li>Sistema de Información Administrativa. </li></ul><ul><li>2° Semestre 2009 </li></ul><ul><li>Profesor Cristian Salazar </li></ul><ul><li>Alumnos: </li></ul><ul><li>Carla Poblete </li></ul><ul><li>María José Sánchez </li></ul><ul><li>Lidia Henríquez </li></ul><ul><li>Herminda Peña </li></ul><ul><li>Rosita Galindo </li></ul><ul><li>Víctor Quezada </li></ul><ul><li>Jorge Skorey </li></ul><ul><li>Fernando Quiroz </li></ul><ul><li>Nemorino Mayorga </li></ul>
  • 61. Cristian Salazar
  • 62. Nemorino Mayorga
  • 63. Rosita Galindo
  • 64. Carla Poblete
  • 65. María José Sánchez
  • 66. Herminda Peña
  • 67. Lidia Henríquez
  • 68. Jorge Skorey
  • 69. Víctor Quezada
  • 70. Fernando Quiroz Se busca…..
  • 71.  
  • 72.  
  • 73.  
  • 74.  
  • 75. El Prof. Cristian y Jorge en el Museo de la Moneda
  • 76.  
  • 77.  
  • 78. Luego del Cóctel..preparándose para el Bunker..
  • 79.  
  • 80.  
  • 81.  
  • 82.  
  • 83.  
  • 84.  
  • 85.  
  • 86. Tomando un descanzo..
  • 87.  
  • 88. Jornadas de Acceso
  • 89. Sin comentarios..
  • 90. Perversillas…
  • 91. Frente a la Moneda
  • 92.  
  • 93.  

×