Sgsi
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,945
On Slideshare
2,927
From Embeds
18
Number of Embeds
2

Actions

Shares
Downloads
60
Comments
0
Likes
1

Embeds 18

http://seguridadinformaticaymas.blogspot.com 17
http://seguridadinformaticaymas.blogspot.mx 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. SEGURIDAD EN COMPUTACION E INFORMATICA
    • INTEGRANTES:
    • AGÜERO ORTEGA JORGE ISAAC
    • ALZAMORA MAMANI PABLO
    • CABEZUDO MARTINEZ WILLIAM
    • PASACHE PAPA JESUS
    • CHURA HUASHUAYO JORGE
  • 2. ¿Por qué se debe aplicar una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional?
  • 3. Sistemas de Gestión de Seguridad
    • La implantación de sistemas de seguridad facilita a la empresa los instrumentos mas necesarios y eficaces para asegurar la protección de la información susceptible de intercepciones no autorizadas y salvaguardar la integridad y exactitud de sus activos
  • 4. Que es un sistema de gestión de seguridad de Información?
    • Consiste en un conjunto de:
      • Estructura Organizativa
      • Activos físicos
      • Conocimiento
      • Procedimientos
      • Recursos humanos
  • 5. Objetivo
    • Garantizar la confidencialidad, integridad y disponibilidad de la información a todos los niveles
    • Reducir los riesgos a niveles aceptables
    • Cumplir con las leyes , normas y regulaciones vigentes
  • 6. Objetivo de un proyecto de implantación de SGSI
    • Definir e implantar un proyecto de SGSI basado en los requisitos de la norma ISO 17799 y obtener la certificación por un organismo acreditado
    • Implantar un método optimo de organizar la Seguridad de la información en todos los ámbitos así como el área de desarrollo y centro de procesamiento de datos
  • 7. Ventajas de la implementación de un SGSI
    • Mejorar la organización y asignación de responsabilidades en lo relativo a seguridad de la información de la empresa
    • Permite documentar y estandarizar las actividades referentes a la gestión de la seguridad de la información
    • Disminuir el riesgo del posible uso de información confidencial por parte de personal ajeno
    • Conseguir un sistema que aprenda de los errores y que evolucione constantemente
    • Involucrar al personal como parte activa y creativa en el proyecto
    • Aumentar la rentabilidad a mediano y corto plazo , al disminuir la probabilidad de perdida y fuga de información de la empresa
  • 8. Ventajas de la implementación de un SGSI
    • Mayor estabilidad y posicionamiento en su mercado , debido a que se puede prever que la certificación será casi una obligación para cualquier empresa que desee competir
    • Evitar la apertura de brechas de seguridad al interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre diversas instituciones
    • Mejora de la imagen corporativa
    • Establecer un lenguaje común entre clientes, proveedores y terceras partes.
  • 9. Como implementar un SGSI
    • FASE 1: Identificar y estudiar los objetivos y requerimientos de seguridad del sistema de información de la organización
    • FASE 2: Análisis de riesgos: identificar las vulnerabilidades y amenazas de seguridad de información que recaen en los servicios, procesos y activos, así como la probabilidad de impacto de realización de dichas amenazas
    • FASE 3: Selección de los controles necesarios para tratar los riesgos de la fase 2, y documentarlo en un plan de tratamiento de riesgos, que será luego complementado y ampliado
    • FASE 4: Formalización del SGSI: Documentación de las políticas, programas y procedimientos del SGSI necesarios para gestionar los riesgos de seguridad de información de la Organización
  • 10.
    • FASE 5: Plan de implementación de controles: Consiste en identificar el grado de desviación entre la situación deseada para los controles y procesos del SGSI y la situación actual de madurez de la organización. Desarrollar el plan director de Seguridad en la información
    • FASE 6: Ejecución de una auditoria interna del SGSI después de su implantación, los resultados de esta auditoria son exigidos como evidencia, además de ser una entrada fundamental para la revisión del SGSI por la dirección.
    • FASE 7: Auditoria externa de Certificación: Certificación del SGSI por un organismo externo acreditado, así como la resolución de las posibles no conformidades detectadas
  • 11. TIPOS DE ESTRATEGIA
  • 12. Mínimo privilegio
    • Este es uno de los principios más fundamentales de seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa, sistema, etc.) solo aquellos permisos o privilegios que son necesarios para realizar las tareas que se programó para ellos. El tipo de objeto al cual se apliquen los permisos determinará la granularidad de la seguridad obtenida.
    • Esta estrategia permite limitar la exposición a ataques y limitar el daño causado por ataques particulares. Está basada en el razonamiento de que todos los servicios ofrecidos por una red están pensados para ser utilizados por algún perfil de usuario en particular, y no que todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios de la red.
  • 13. Defensa en profundidad
    • Esta estrategia se basa en la implementación de varios mecanismos de seguridad y que cada uno de ellos refuerce a los demás. De esta forma se evita que la falla de uno de los mecanismos deje vulnerable a la red completa.
    • La idea es hacerle más difícil y costoso a un atacante la tarea de violar la seguridad de la red. Esto se logra con la multiplicidad y redundancia de la protección, es decir, con cada mecanismo respaldando a los demás mecanismos de seguridad y cubriendo aspectos solapados, de forma que si uno de esos mecanismos falla, existen otras barreras más que vencer.
  • 14. Punto de Ahogo (acceso)
    • Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico de entrada y salida, los esfuerzos de control y mecanismos de seguridad se centran y simplifican en monitorear un solo sitio de la red.
    • Esta estrategia se considera como una solución “todo en uno”. Como consecuencia, uno de los problemas que presenta es que si un atacante es capaz de traspasar la seguridad de este único punto del acceso tendrá acceso a todos los recursos de la red. Esta situación puede ser tratada utilizando mecanismos de protección redundantes y reforzar la seguridad de dicho punto.
  • 15. El enlace más débil
    • Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los ataques a la privacidad de una red.
    • El objetivo de esta estrategia es identificar aquellos enlaces débiles de acceso a la red privada y tratar de eliminarlos, reforzarlos y/o monitorearlos. Aunque no por esto debe restarse importancia a la seguridad de otros aspectos de la red.
  • 16. Estado a prueba de fallos
    • Esta estrategia considera un importante factor en la seguridad de redes: ninguna solución de seguridad es 100% segura. Más o menos segura, una protección puede fallar. La pregunta es ¿cómo responderá la red a esta falla?. Obviamente se tratará de reestablecer la barrera cuanto antes, pero, mientras tanto...
    • Uno de los principios fundamentales en la seguridad de redes es que si un mecanismo de seguridad fallara, debería negarse el acceso a todo usuario, inclusive aquellos usuarios permitidos (no podemos determinar si lo son si la función de autenticación no está funcionando), es decir debe fallar en un estado seguro.
    • Este principio debe ser considerado al diseñar firewalls de Internet. Los filtros de paquetes y gateways, deben fallar en tal forma que el trafico desde y hacia Internet sea detenido.
  • 17. Simplicidad
    • Se sabe que cuanto más grande y complejo es un sistema, más errores tendrá, será más difícil y costoso de testear. Probablemente posea agujeros de seguridad no conocidos que un atacante puede explotar, por más complejos que sean.
    • La simplicidad de los sistemas de seguridad es un factor importante de una sólida defensa de red. Particularmente los sistemas de seguridad de red a nivel de aplicación no deberían tener funcionalidades desconocidas y deberían mantenerse lo más simples posible.
  • 18. Seguridad basada en la Red
    • El modelo de seguridad de red se enfoca en controlar el acceso a la red, y no en asegurar los hosts en sí mismos. Este modelo esta diseñado para tratar los problemas identificados en el ambiente de seguridad de hosts, aplicando los mecanismos de protección en un lugar en común por el cual circula todo el tráfico desde y hacia los hosts: los puntos de acceso a la red.
    • Un enfoque de seguridad de red involucra la construcción de firewalls para proteger redes confiadas de redes no confiables, utilizando sólidas técnicas de autenticación, y usando encriptación para proteger la confidencialidad e integridad de los datos a medida que atraviesan la red.
  • 19. DEFINICIÓN DE CULTURA ORGANIZACIONAL:
    • La cultura organizacional es el conjunto de normas, hábitos y valores, que practican los individuos de una organización, y que hacen de esta su forma de comportamiento.
  • 20.
    • Analizando la Cultura Organizacional actual, podemos determinar las fortalezas y debilidades de la empresa en el aspecto humano, debido que es el punto mas critico de la seguridad de la información
    • Estas fortalezas o debilidades ayudan a determinar el plan de trabajo de un sistema de gestión de seguridad
    • Ejemplo: En cierta empresa se desea implementar un sistema de gestión de seguridad, para lo cual primero debemos conocer las normas que rigen la empresa, tales como horarios de trabajo, posibilidad de acceso a infraestructura por parte del personal, horarios de acceso a paginas Web no restringidas, etc.
    • Es importante conocer además los antecedentes que tiene la institución con respecto a seguridad informática, tales como perdida de documentos físicos y lógicos , metodología actual de reciclaje de dispositivos de almacenamiento, cantidad de infecciones por virus promedio por área, robos de contraseñas de acceso, etc.
    • Identificamos además los riesgos a los que se enfrenta la compañía y sus posibles consecuencias
  • 21.
    • Una vez determinadas las normas y antecedentes, contrastamos las necesidades que tiene la organización, con las que tiene el personal, para calificar cuales son posibles de satisfacer, rechazar o mejorar.
    • A consecuencia de este análisis, podremos comenzar a realizar un plan de seguridad en información, ya que se contrasta con la información real y no supuesta, lo cual nos da mayores oportunidades de éxito.
    • Proporcionamos una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización
    • Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan
    • Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza
  • 22.
    • La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
    • Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
    • Un procedimiento para administrar las actualizaciones
    • Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente
    • Un plan de recuperación luego de un incidente
    • Un sistema documentado actualizado
  • 23.
    • Seguridad en la definición de puestos de trabajo y la asignación de recursos
    • Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.
    • Las responsabilidades en materia de seguridad deben ser explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeño del individuo como empleado. Todos los empleados y usuarios externos de las instalaciones de procesamiento de información deben firmar un acuerdo de confidencialidad (no revelación).
    • Inclusión de la seguridad en las responsabilidades de los puestos de trabajo.
    • Selección y política de integridad: certificado de buena conducta, comprobación de CV.
    • Acuerdos de Confidencialidad
    • Términos y condiciones de empleo
  • 24.
    • Capacitación del usuario
    • Objetivo : Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.
    • Respuesta a incidentes y anomalías en materia de seguridad
    • Objetivo : Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos. Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales adecuados tan pronto como sea posible.
    • Se debe concienciar a todos los empleados y contratistas acerca de los procedimientos de comunicación de los diferentes tipos de incidentes (violaciones, amenazas, debilidades o anomalías en materia de seguridad) que podrían producir un impacto en la seguridad de los activos de la organización. Se debe requerir que los mismos comuniquen cualquier incidente advertido o supuesto al punto de contacto designado tan pronto como sea posible. La organización debe establecer un proceso disciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad. Para lograr abordar debidamente los incidentes podría ser necesario recolectar evidencia tan pronto como sea posible una vez ocurrido el hecho
  • 25.
    • Responsabilidades del usuario
    • Objetivo: Impedir el acceso de usuarios no autorizados
    • La cooperación de los usuarios autorizados en esencial para la eficacia de la seguridad.
    • Se debe concienciar a los usuarios acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento.
    • Uso de contraseñas
    • Equipos desatendidos en áreas de usuarios
  • 26. Conclusiones
    • 1.- La seguridad de la información es importante que se introduzca dentro de la cultura organizacional, ya que se orienta a la protección de la información y así mismo se integra a la misión y visión de la empresa que forma parte de la estrategia de la organización y se alinea con sus objetivos.
    • 2.- La cultura organizacional dificulta la implantación de una estrategia de implementación de seguridad, debido a que la cultura tradicionalista es muy arraigada, impidiendo la efectividad de la misma.
    • 3.- Es necesario que exista mas apoyo por parte de las diversas áreas y de la gerencia para poder aplicar una estrategia de implementación de la seguridad.
    • 4.- La información hoy en día es uno de los más importantes activos para las empresas por este motivo requiere ser asegurada y protegida en forma apropiada.
  • 27. Recomendaciones
    • Tomar en cuenta que el análisis de la cultura organizacional es fundamental como base principal de la implementación de un sistema de gestión de seguridad de la información, debido a que es la fuente real y cuantificable de las debilidades y fortalezas que tiene la organización.
    • Los miembros de la organización deben ser colaboradores activos dentro del plan de seguridad de la información, ya que el aspecto humano es el mas critico y donde se requiere mayor énfasis en la mejora del nivel de seguridad.