Seguridad informática

477 views

Published on

  • Be the first to comment

  • Be the first to like this

Seguridad informática

  1. 1. Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar las disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.
  2. 2. INFORMÁTICA TV RADIO PC IMPRESORA FOTOCOPIADORA INTERNET
  3. 3. Es el método permitido por las empresas para proteger el sistema informático. Personas de alto conocimiento en el sector informático cuyo fin tiene cumplir la información. ETHICAL HACKING HACKER
  4. 4. DATOS CONTRATOS PLANTILLAS CUENTAS BANCARIAS WEB IMEI: Identificación del celular IP: Identificación del equipo en la red INFORMACIÓN
  5. 5. GENERALIDADES LA FAMILIA ISO NORMAS ISO 9 000 NORMAS ISO 10 000 NORMAS ISO 14 000 NORMAS ISO 27 000 La información estándar ISO tiene sus siglas como significado “Organización Internacional de Normalización”. CERTIFICACIÓN DE CALIDAD Evalúa los productos que ofrece los proveedores para su exportación a nivel internacional NORMAS ISO
  6. 6. Sistema de gestión de calidad, fundamentos, vocabulario, requisitos, elementos del sistema de calidad, directrices para la mejora del desempeño. Guías para implementar sistemas de gestión de calidad, reportes técnicos, planes de calidad, gestión de proyectos, gestión de aspectos económicos. ISO 10 000 ISO 9 000
  7. 7. Sistema de gestión ambiental de las organizaciones. Principios ambientales, etiquetado ambiental, siclo de vida del producto programas de revisión ambiental auditorias. Es el conjunto de estándares desarrollados o en fase de desarrollo por ISO e IEC , que proporciona un marco de la gestión de la seguridad de la información utilizable por cualquier tipo de organización pública o privada, grande o pequeña. ISO 14 000 ISO 27 000
  8. 8. La Certificación de Producto es un proceso mediante el cual se garantiza la calidad y/o las características de un producto final según lo establecido en una norma específica u otros documentos preestablecidos. Este proceso comprende la realización de auditorías en las empresas objeto de certificación, mediante la evaluación de los sistemas de calidad y de producción de las empresas, mediante la evaluación de ensayos de muestras tomadas en fábrica y de los productos finales. PROCESO DE SERTIFICACIÓN
  9. 9. Oficina Nacional De Gobierno Electrónico E Informática .es el órgano técnico especializado que depende del despacho de la PCM ”Presidencia Del Consejo De Ministros”. TIPOS DE AMENAZAS oEscalamiento de privilegios. oFraudes informáticos. oPuertos vulnerables abiertos. oViolación de la privacidad de los empleados. oDenegación de servicio. oÚltimos parches no instalados. oDestrucción de equipamiento. oDesactualización. oInstalaciones default. oPassword cracking. oExploits. ONGEI
  10. 10. ONGEI ENTIDAD POLÍTICA DE SEG. INFORMÁTICA DOCUMENTOS DE POLÍTICA DE S.I. REVISIÓN Y EVALUACIÓN CONTROL GUíA DE IMPLEMENTACIÓN CONTROL GUÍA DE IMPLEMENTACIÓN Revisión y planificación con el fin de asegurar su uso continuo. Aprobar, publicar y comunicar. a) Definición general S.I. objetivos globales. b) El soporte de aspectos generales. c) Evaluación y riesgo. d) Breve explicación de las políticas. e) Responsabilidades e incidencias. f) Referencia y sustentación. a) Retroalimentación. b) Resultados. c) Acciones preventivas y correctivas. d) Resultado de revisiones. e) Desarrollo de proceso y cumplimiento. f) Posibles cambios que puedan afectar el alcance de la organización. g) Tendencia relacionadas con amenazas y vulnerabilidad. h) Incidentes reportados de seguridad de información. i) Recomendaciones dadas por las autoridades. OBJETIVO: Definir y dar soporte a la S.I.
  11. 11. LA NORMA NTP Y SU ACTUALIZACIÓN  Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.  Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
  12. 12. LOS 11 DOMINIOS
  13. 13. Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
  14. 14. Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.
  15. 15. Responde a la necesidad de proteger las áreas, el equipo y los controles generales. objetivos de esta sección son: • Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. • Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. • Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. • Garantizar la protección de la información en las redes y de la infraestructura de soporte. • Evitar daños a los recursos de información e interrupciones en las actividades de la institución. • Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
  16. 16. Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
  17. 17. Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.
  18. 18. Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
  19. 19. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDADA 1. Organización Interna La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa. Comité de gestión de seguridad de la información La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información. Coordinación de la seguridad de la información La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.
  20. 20. Asignación de responsabilidades sobre seguridad de la información Deberían definirse claramente las responsabilidades. Proceso de autorización de recursos para el tratamiento de la información Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información. Acuerdos de confidencialidad de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente. Contacto con autoridades Deben ser mantenidos contactos apropiados con autoridades relevantes. Contacto con grupos de interés especial Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales.
  21. 21. Revisión independiente de la seguridad de la información. alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran. 2. Seguridad en los accesos de terceras partes La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros. Identificación de riesgos por el acceso de terceros Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos. Requisitos de seguridad cuando sea trata con clientes Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.
  22. 22. CLASIFICACIÓN Y CONTROL DE ACTIVOS Respecto a las herramientas necesarias, se trata de elaborar unas bases de datos, para lo cual debería bastarte con los programas informáticos más habituales. Desde Internet es posible descargar modelos de hojas de inventario en Excel. Según vayas haciendo el recuento de las existencias físicas reales (tal como se les denomina en la jerga), producto a producto y referencia a referencia, y sepas el número de unidades que tienes de cada cosa, es importante que introduzcas esa cifra en una aplicación informática. Eso te permitirá comparar el dato con el que figura en tus archivos de control. En caso de que haya diferencias en los números, estaremos ante una desviación, ya sea negativa o positiva (que falten o sobren productos). Si concluido este recuento resulta que tus existencias no coinciden finalmente con las que esperabas, has de hacer una valoración de esa desviación o desajuste para proceder a su regularización. Dicho de forma más sencilla: debes ajustar las cifras de tus libros de acuerdo con la realidad. Cuando realizas el recuento del inventario, estás obteniendo también los datos para tu inventario contable, y la regularización es por tanto “una regularización contable, que afecta al balance de la compañía”, explica Márquez de la Cuesta.
  23. 23. TUS MÁRGENES DE MANIOBRA A modo de referencia, que sepas que siguiendo la llamada “clasificación ABC” las empresas suelen considerar admisible una desviación distinta dependiendo del tipo de producto. Para los artículos de clase A (los más valiosos para tu negocio), la desviación debería ser de cero; en la clase B se toleraría una máxima del +/-1%, mientras que en los productos de clase C se admite un margen máximo de hasta dos puntos porcentuales. Si los desajustes son graves, puedes plantearte hacer un análisis histórico de los movimientos de entrada y salida, en busca de posibles fallos en los registros que te aclaren los bailes de cifras y ayuden a evitar otros. “En ese caso –aclara Márquez de la Cuesta–, en lugar de una regularización contable lo que tendrías que hacer es la rectificación de un movimiento erróneo”.
  24. 24. LA SEGURIDAD DE LA INFORMACIÓN EN LOS RECURSOS HUMANOS Se dedica a la gestión de Recursos Humanos ¿Qué es seguridad de la información? consiste en proteger uno de los principales activos de cualquier empresa: la información Los tres fundamentos básicos de la seguridad en la información son: Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla. Integridad. La información debe ser correcta y completa. Disponibilidad. La información debe estar disponible siempre que sea necesario. ¿Qué tiene que ver la seguridad con los Recursos Humanos? al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. deben gestionar adecuadamente este importante recurso de la empresa.
  25. 25. ¿No debe ser el departamento de Seguridad quien se encargue de estos temas? no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la Organización. Cada área de Negocio juega su papel Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos. Reclutamiento y salida de empleados Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma. Reclutamiento Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio. Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales. Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos.
  26. 26. Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado: •Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc. •Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente. Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión. Salida de empleados La salida de un empleado es un punto crítico de riesgo para la Organización. Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del emplea IT se ocupa de dar de baja sus accesos Este escenario acaba degenerando en problemas Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos
  27. 27. Clasificación de las bajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería: •Baja normal, si se produce en circunstancias normales y sin conflictos. •Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc. •Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc. Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar. Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de: •accesos físicos (llaves, cajas fuertes, llaves electrónicas) •accesos lógicos (email, acceso a la red y servidores, etc) •material de la empresa (portátil, móvil, etc)
  28. 28. La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma: •realización de copias de seguridad de la información sensible •supervisión de los accesos hasta el día de la baja •cancelación preventiva de los accesos más críticos

×