SlideShare a Scribd company logo

Seguridad informática

Download as PPT, PDF
Adrián Braña Fernandez
Adrián Braña Fernandez
Education
1 of 57
Origen de los problemas de Seguridad Informática Origen de los problemas de Seguridad Informática
 ““LA SEGURIDAD INFORMATICA ES UNLA SEGURIDAD INFORMATICA ES UN CAMINO, NO UN DESTINO”CAMINO, NO UN DESTINO” Objetivo: mantener los sistemas generandoObjetivo: mantener los sistemas generando resultados.resultados. Si los sistemas no se encuentran funcionandoSi los sistemas no se encuentran funcionando entonces su costo se convierte en perdidasentonces su costo se convierte en perdidas financieras (en el menos grave de los casos).financieras (en el menos grave de los casos). El resultado generado por un sistema es laEl resultado generado por un sistema es la INFORMACION que ALMACENA O PRODUCE.INFORMACION que ALMACENA O PRODUCE. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 La seguridad informática NO es un problemaLa seguridad informática NO es un problema exclusivamente de las computadoras.exclusivamente de las computadoras.  Las computadoras y las redes son el principal campoLas computadoras y las redes son el principal campo de batalla.de batalla.  Se debe de proteger aquello que tenga un valor paraSe debe de proteger aquello que tenga un valor para alguien.alguien. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Qué la seguridad informática?¿Qué la seguridad informática?  Políticas, procedimientos y técnicas para asegurar laPolíticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos yintegridad, disponibilidad y confiabilidad de datos y sistemas.sistemas.  Prevenir y detectar amenazas. Responder de unaPrevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente.forma adecuada y con prontitud ante un incidente.  Proteger y Mantener los sistemas funcionando.Proteger y Mantener los sistemas funcionando. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Por qué la seguridad informática?¿Por qué la seguridad informática?  Por $$$, el dueño de los sistemas tiene dineroPor $$$, el dueño de los sistemas tiene dinero INVERTIDO en algo que le trae un beneficio oINVERTIDO en algo que le trae un beneficio o ventaja.ventaja.  El Cracking a otros sistemas desde cualquier puntoEl Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendiéndonos ante elde vista es ilegal. Estamos defendiéndonos ante el crimen. (aunque no haya leyes).crimen. (aunque no haya leyes).  Por CALIDAD, hay que acostumbrarnos a hacer lasPor CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste más esfuerzo.cosas bien, aunque cueste más esfuerzo. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿De donde surge la seguridad?¿De donde surge la seguridad?  ““Tecnológicamente, la seguridad es GRATIS”Tecnológicamente, la seguridad es GRATIS”  YA HAS PAGADO POR ELLA:YA HAS PAGADO POR ELLA:  Los sistemas operativos modernos contienen muchasLos sistemas operativos modernos contienen muchas características de seguridad.características de seguridad. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 La Seguridad Informática es Fácil:La Seguridad Informática es Fácil:  ““Con el 20% de esfuerzo se puede lograr el 80% deCon el 20% de esfuerzo se puede lograr el 80% de resultados”resultados”  Actividades sencillas pero constantes son las queActividades sencillas pero constantes son las que evitan la mayoría de los problemas.evitan la mayoría de los problemas.  Se debe de trabajar en crear MECANISMOS deSe debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridadseguridad que usan las TECNICAS de seguridad adecuadas según lo que se quiera proteger.adecuadas según lo que se quiera proteger. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
ROLESROLES INVOLUCRADOSINVOLUCRADOS EN SEGURIDADEN SEGURIDAD
USUARIOSUSUARIOS SEGURIDADSEGURIDAD
 Usuarios comunes:Usuarios comunes:  Los usuarios se acostumbran a usar la tecnología sinLos usuarios se acostumbran a usar la tecnología sin saber como funciona o de los riesgos que puedensaber como funciona o de los riesgos que pueden correr.correr.  Son el punto de entrada de muchos de losSon el punto de entrada de muchos de los problemas crónicos.problemas crónicos.  Son “El eslabón más débil” en la cadena deSon “El eslabón más débil” en la cadena de seguridad.seguridad. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 2 enfoques para controlarlos:  Principio del MENOR PRIVILEGIO POSIBLE:Principio del MENOR PRIVILEGIO POSIBLE: Reducir la capacidad de acción del usuario sobre losReducir la capacidad de acción del usuario sobre los sistemas.sistemas. Objetivo: Lograr el menor daño posible en caso deObjetivo: Lograr el menor daño posible en caso de incidentes.incidentes.  EDUCAR AL USUARIO:EDUCAR AL USUARIO: Generar una cultura de seguridad. El usuario ayudaGenerar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad.a reforzar y aplicar los mecanismos de seguridad. Objetivo: Reducir el número de incidentesObjetivo: Reducir el número de incidentes SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
USUARIOSUSUARIOS SEGURIDADSEGURIDAD CREADORESCREADORES DE SISTEMASDE SISTEMAS
 Creando Software:  El software moderno es muy complejo y tiene una altaEl software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad.probabilidad de contener vulnerabilidades de seguridad.  Un mal proceso de desarrollo genera software de malaUn mal proceso de desarrollo genera software de mala calidad. “Prefieren que salga mal a que salga tarde”.calidad. “Prefieren que salga mal a que salga tarde”.  Usualmente no se enseña a incorporar requisitos niUsualmente no se enseña a incorporar requisitos ni protocolos de seguridad en los productos de SW.protocolos de seguridad en los productos de SW. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 Propiedades de la Información en un “Trusted System”  Confidencialidad: Asegurarse que la información enConfidencialidad: Asegurarse que la información en un sistema de cómputo y la transmitida por un medioun sistema de cómputo y la transmitida por un medio de comunicación, pueda ser leída SOLO por lasde comunicación, pueda ser leída SOLO por las personas autorizadas.personas autorizadas.  Autenticación: Asegurarse que el origen de unAutenticación: Asegurarse que el origen de un mensaje o documento electrónico esta correctamentemensaje o documento electrónico esta correctamente identificado, con la seguridad que la entidad emisoraidentificado, con la seguridad que la entidad emisora o receptora no esta suplantada.o receptora no esta suplantada. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 Integridad: Asegurarse que solo el personalIntegridad: Asegurarse que solo el personal autorizado sea capaz de modificar la información oautorizado sea capaz de modificar la información o recursos de cómputo.recursos de cómputo.  No repudiación: Asegurarse que ni el emisor oNo repudiación: Asegurarse que ni el emisor o receptor de un mensaje o acción sea capaz de negarreceptor de un mensaje o acción sea capaz de negar lo hecho.lo hecho.  Disponibilidad: Requiere que los recursos de unDisponibilidad: Requiere que los recursos de un sistema de cómputo estén disponibles en el momentosistema de cómputo estén disponibles en el momento que se necesiten.que se necesiten. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
• Ataques contra el flujo de la información  FLUJO NORMALFLUJO NORMAL  Los mensajes en una red se envían a partir de un emisor aLos mensajes en una red se envían a partir de un emisor a uno o varios receptoresuno o varios receptores  El atacante es un tercer elemento; en la realidad existenEl atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales omillones de elementos atacantes, intencionales o accidentales.accidentales. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 INTERRUPCIONINTERRUPCION  El mensaje no puede llegar a su destino, un recurso delEl mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado.sistema es destruido o temporalmente inutilizado.  Este es un ataque contra la DisponibilidadEste es un ataque contra la Disponibilidad  Ejemplos: Destrucción de una pieza de hardware, cortar losEjemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas demedios de comunicación o deshabilitar los sistemas de administración de archivos.administración de archivos. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 INTERCEPCIONINTERCEPCION  Una persona, computadora o programa sin autorizaciónUna persona, computadora o programa sin autorización logra el acceso a un recurso controlado.logra el acceso a un recurso controlado.  Es un ataque contra la Confidencialidad.Es un ataque contra la Confidencialidad.  Ejemplos: Escuchas electrónicos, copias ilícitas deEjemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios.programas o datos, escalamiento de privilegios. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 MODIFICACIONMODIFICACION  La persona sin autorización, además de lograr el acceso,La persona sin autorización, además de lograr el acceso, modifica el mensaje.modifica el mensaje.  Este es un ataque contra laEste es un ataque contra la IntegridadIntegridad..  Ejemplos: Alterar la información que se transmite desde unaEjemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas parabase de datos, modificar los mensajes entre programas para que se comporten diferente.que se comporten diferente. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 FABRICACIONFABRICACION  Una persona sin autorización inserta objetos falsos en elUna persona sin autorización inserta objetos falsos en el sistema.sistema.  Es un ataque contra laEs un ataque contra la AutenticidadAutenticidad..  Ejemplos: Suplantación de identidades, robo de sesiones,Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc...robo de contraseñas, robo de direcciones IP, etc...  Es muy difícil estar seguro de quién esta al otro lado de laEs muy difícil estar seguro de quién esta al otro lado de la línea.línea. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
USUARIOSUSUARIOS SEGURIDADSEGURIDAD CREADORES DECREADORES DE SISTEMASSISTEMAS GERENTESGERENTES
 Para que esperar…  ““Si gastas más dinero en café que en SeguridadSi gastas más dinero en café que en Seguridad Informática, entonces vas a ser hackeado, es más,Informática, entonces vas a ser hackeado, es más, mereces ser hackeado”mereces ser hackeado”  La mayoría de las empresas incorporan medidas deLa mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas.seguridad hasta que han tenido graves problemas. ¿para que esperarse?¿para que esperarse? SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 Siempre tenemos algo de valor para alguienSiempre tenemos algo de valor para alguien  Razones para atacar la red de una empresa:Razones para atacar la red de una empresa:  $$$, ventaja económica, ventaja competitiva, espionaje$$$, ventaja económica, ventaja competitiva, espionaje político, espionaje industrial, sabotaje,…político, espionaje industrial, sabotaje,…  Empleados descontentos, fraudes, extorsiones, (insiders).Empleados descontentos, fraudes, extorsiones, (insiders).  Espacio de almacenamiento, ancho de banda, servidores deEspacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo, etc…correo (SPAM), poder de cómputo, etc…  Objetivo de oportunidad.Objetivo de oportunidad. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 Siempre hay algo que perder:Siempre hay algo que perder:  ¿Cuánto te cuesta tener un sistema de cómputo¿Cuánto te cuesta tener un sistema de cómputo detenido por causa de un incidente de seguridad?detenido por causa de un incidente de seguridad?  Costos económicos (perder oportunidades de negocio).Costos económicos (perder oportunidades de negocio).  Costos de recuperación.Costos de recuperación.  Costos de reparación.Costos de reparación.  Costos de tiempo.Costos de tiempo.  Costos legales y judiciales.Costos legales y judiciales.  Costos de imagen.Costos de imagen.  Costos de confianza de clientes.Costos de confianza de clientes.  Perdidas humanas (cuando sea el caso).Perdidas humanas (cuando sea el caso). SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Qué hacer?¿Qué hacer?  Los altos niveles de la empresa tienen que apoyar yLos altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad.patrocinar las iniciativas de seguridad.  Las políticas y mecanismos de seguridad deben deLas políticas y mecanismos de seguridad deben de exigirse para toda la empresa.exigirse para toda la empresa.  Con su apoyo se puede pasar fácilmente a enfrentarCon su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar delos problemas de manera proactiva (en lugar de reactiva como se hace normalmente)reactiva como se hace normalmente) SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
USUARIOSUSUARIOS SEGURIDADSEGURIDAD CREADORES DECREADORES DE SISTEMASSISTEMAS GERENTESGERENTES HACKERHACKER CRACKERCRACKER
 Cracking:Cracking:  Los ataques son cada vez mas complejos.Los ataques son cada vez mas complejos.  Cada vez se requieren menos conocimientos paraCada vez se requieren menos conocimientos para iniciar un ataque.iniciar un ataque.  México es un paraíso para el cracking.México es un paraíso para el cracking.  ¿Por qué alguien querría introducirse en mis sistemas?¿Por qué alguien querría introducirse en mis sistemas?  ¿Por qué no? Si es tan fácil:¿Por qué no? Si es tan fácil:  DescuidosDescuidos  DesconocimientoDesconocimiento  Negligencias (factores humanos).Negligencias (factores humanos). SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Quienes atacan los sistemas?¿Quienes atacan los sistemas? Gobiernos Extranjeros.Gobiernos Extranjeros. Espías industriales o políticos.Espías industriales o políticos. Criminales.Criminales. Empleados descontentos y abusos internos.Empleados descontentos y abusos internos. Adolescentes sin nada que hacerAdolescentes sin nada que hacer SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 Niveles de Hackers:Niveles de Hackers:  Nivel 3:Nivel 3: (ELITE) Expertos en varias áreas de la informática, son los que(ELITE) Expertos en varias áreas de la informática, son los que usualmente descubren los puntos débiles en los sistemas y puedenusualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos.crear herramientas para explotarlos.  Nivel 2:Nivel 2: Tienen un conocimiento avanzado de la informática y puedenTienen un conocimiento avanzado de la informática y pueden obtener las herramientas creadas por los de nivel 3, pero pueden darleobtener las herramientas creadas por los de nivel 3, pero pueden darle usos más preciso de acuerdo a los intereses propios o de un grupo.usos más preciso de acuerdo a los intereses propios o de un grupo.  Nivel 1Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los deo Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero las ejecutan contra una víctima muchas veces sin saber lonivel 3, pero las ejecutan contra una víctima muchas veces sin saber lo que están haciendo.Son los que con más frecuencia realizan ataquesque están haciendo.Son los que con más frecuencia realizan ataques serios.serios. Cualquiera conectado a la red es una víctima potencial, sin importar aCualquiera conectado a la red es una víctima potencial, sin importar a que se dedique, debido a que muchos atacantes sólo quieren probarque se dedique, debido a que muchos atacantes sólo quieren probar que pueden hacer un hack por diversión.que pueden hacer un hack por diversión. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
USUARIOSUSUARIOS SEGURIDADSEGURIDAD CREADORES DECREADORES DE SISTEMASSISTEMAS GERENTESGERENTES HACKER CRACKERHACKER CRACKER ADMINISTRADORES DE T.I.
 ADMINISTRADORES DE TI:ADMINISTRADORES DE TI:  Son los que tienen directamente la responsabilidad de vigilar a losSon los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas).otros roles. (aparte de sus sistemas).  Hay actividades de seguridad que deben de realizar de maneraHay actividades de seguridad que deben de realizar de manera rutinaria.rutinaria.  Obligados a capacitarse, investigar, y proponer soluciones eObligados a capacitarse, investigar, y proponer soluciones e implementarlas.implementarlas.  También tiene que ser hackers: Conocer al enemigo, proponerTambién tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.soluciones inteligentes y creativas para problemas complejos. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
Puntos Débiles en los Sistemas Comunicaciones Almacenamiento de datos Sistema Operativo Servicios Públicos Aplicación Usuarios Servicios Internos SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 Qué se debe asegurar ?Qué se debe asegurar ? Siendo que la información debe considerarse como un recursoSiendo que la información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valorcon el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos, debe estarpara éstas, al igual que el resto de los activos, debe estar debidamente protegida.debidamente protegida.  ¿Contra qué se debe proteger la Información ?¿Contra qué se debe proteger la Información ? La Seguridad de la Información, protege a ésta de una ampliaLa Seguridad de la Información, protege a ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción,gama de amenazas, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden deliberado, tal comoincendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.fraude, espionaje, sabotaje, vandalismo, etc. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Qué se debe garantizar?¿Qué se debe garantizar?  ConfidencialidadConfidencialidad: Se garantiza que la información es: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener accesoaccesible sólo a aquellas personas autorizadas a tener acceso a la misma.a la misma.  IntegridadIntegridad: Se salvaguarda la exactitud y totalidad de la: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.información y los métodos de procesamiento.  DisponibilidadDisponibilidad: Se garantiza que los usuarios autorizados: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionadostienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.con la misma toda vez que se requiera. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Porqué aumentan las amenazas?¿Porqué aumentan las amenazas? Las Organizaciones son cada vez mas dependientes de susLas Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Información, por lo tanto podemosSistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazasafirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad. Algunas causas son:concernientes a su seguridad. Algunas causas son: Crecimiento exponencial de las Redes y Usuarios InterconectadosCrecimiento exponencial de las Redes y Usuarios Interconectados Profusión de las BD On-LineProfusión de las BD On-Line Inmadurez de las Nuevas TecnologíasInmadurez de las Nuevas Tecnologías Alta disponibilidad de Herramientas Automatizadas de AtaquesAlta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Técnicas de Ataque Distribuido (Ej:DDoS)Nuevas Técnicas de Ataque Distribuido (Ej:DDoS) Técnicas de Ingeniería SocialTécnicas de Ingeniería Social SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Cuáles son las amenazas?¿Cuáles son las amenazas?  AccidentesAccidentes:: Averías, Catástrofes, Interrupciones..  ErroresErrores:: de Uso, Diseño, Control..  Intencionales PresencialesIntencionales Presenciales:: Atentado con acceso físico no autorizado.  Intencionales RemotasIntencionales Remotas: Requieren acceso al canal de comunicación: Requieren acceso al canal de comunicación.. InterceptaciónInterceptación pasiva de la información (amenaza a lapasiva de la información (amenaza a la CONFIDENCIALIDAD).CONFIDENCIALIDAD). Corrupción o destrucciónCorrupción o destrucción de la información (amenaza a lade la información (amenaza a la INTEGRIDAD).INTEGRIDAD). Suplantación de origenSuplantación de origen (amenaza a la AUTENTICACIÓN)(amenaza a la AUTENTICACIÓN) SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
 ¿Cómo resolver el desafío de la seguridad¿Cómo resolver el desafío de la seguridad informática?informática? Las tres primeras tecnologías de protección más utilizadas son el controlLas tres primeras tecnologías de protección más utilizadas son el control de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%)de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%) Los ataques más comunes durante el último año fueron los virusLos ataques más comunes durante el último año fueron los virus informáticos (27%) y el spammimg de correo electrónico (17%) seguido deinformáticos (27%) y el spammimg de correo electrónico (17%) seguido de cerca (con un 10%) por los ataques de denegación de servicio y el robo decerca (con un 10%) por los ataques de denegación de servicio y el robo de notebook:notebook: El problema de la Seguridad Informática está en suEl problema de la Seguridad Informática está en su GerenciamientoGerenciamiento y no en las tecnologías disponiblesy no en las tecnologías disponibles SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
Por ahora ....Por ahora .... Protección de la Información Confidencialidad Integridad Disponibilidad Amenazas Internas Externas Gerenciar Seguridad InformáticaGerenciar Seguridad Informática SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
Aspectos LegalesAspectos Legales SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
Contamos con Seguridad Informática ....Contamos con Seguridad Informática .... SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
• Requerimiento básicoRequerimiento básico •Apoyo de la Alta GerenciaApoyo de la Alta Gerencia •RRHH con conocimientos y experienciaRRHH con conocimientos y experiencia •RRHH capacitados para el día a díaRRHH capacitados para el día a día •Recursos EconómicosRecursos Económicos •TiempoTiempo SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
• Análisis de RiesgosAnálisis de Riesgos •Se considera Riesgo Informático, a todo factor que puedaSe considera Riesgo Informático, a todo factor que pueda generar una disminución en:generar una disminución en: Confidencialidad – Disponibilidad - IntegridadConfidencialidad – Disponibilidad - Integridad •Determina la probabilidad de ocurrenciaDetermina la probabilidad de ocurrencia •Determina el impacto potencialDetermina el impacto potencial SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
• Modelo de GestiónModelo de Gestión ActivosActivos AmenazasAmenazas ImpactosImpactos VulnerabilidadesVulnerabilidades RiesgosRiesgos FunciónFunción CorrectivaCorrectiva ReduceReduce FunciónFunción PreventivaPreventiva ReduceReduce SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
• Política de Seguridad:Política de Seguridad: ““Conjunto de Normas y ProcedimientosConjunto de Normas y Procedimientos documentadosdocumentados yy comunicadoscomunicados, que tienen por, que tienen por objetivo minimizar los riesgos informáticos masobjetivo minimizar los riesgos informáticos mas probables”probables” InvolucraInvolucra •Uso de herramientasUso de herramientas •Cumplimiento de Tareas porCumplimiento de Tareas por parte de personasparte de personas
• Plan de ContingenciasPlan de Contingencias ““Conjunto de Normas y ProcedimientosConjunto de Normas y Procedimientos documentadosdocumentados yy comunicadoscomunicados, cuyo objetivo es, cuyo objetivo es recuperar operatividad mínima en un lapsorecuperar operatividad mínima en un lapso adecuado a la misión del sistema afectado, anteadecuado a la misión del sistema afectado, ante emergencias generadas por los riesgosemergencias generadas por los riesgos informáticos”informáticos” InvolucraInvolucra •Uso de herramientasUso de herramientas •Cumplimiento de Tareas porCumplimiento de Tareas por parte de personasparte de personas
• Control por OposiciónControl por Oposición •Auditoría Informática Interna capacitadaAuditoría Informática Interna capacitada •Equipo de Control por Oposición FormalizadoEquipo de Control por Oposición Formalizado •Outsourcing de AuditoríaOutsourcing de Auditoría
• Herramientas:Herramientas: •Copias de ResguardoCopias de Resguardo •Control de AccesoControl de Acceso •EncriptaciónEncriptación •AntivirusAntivirus •Barreras de ProtecciónBarreras de Protección •Sistemas de Detección de IntrusionesSistemas de Detección de Intrusiones
• Uso de EstándaresUso de Estándares NORMA ISO/IRAM 17799NORMA ISO/IRAM 17799
• Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 Estándares InternacionalesEstándares Internacionales - Norma basada en la BS 7799- Norma basada en la BS 7799 - Homologada por el IRAM- Homologada por el IRAM
• Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 ORGANIZACION DE LA SEGURIDADORGANIZACION DE LA SEGURIDAD •Infraestructura de la Seguridad de la InformaciónInfraestructura de la Seguridad de la Información •Seguridad del Acceso de tercerosSeguridad del Acceso de terceros •Servicios provistos por otras OrganizacionesServicios provistos por otras Organizaciones CLASIFICACION Y CONTROL DE BIENESCLASIFICACION Y CONTROL DE BIENES •Responsabilidad de los BienesResponsabilidad de los Bienes •Clasificación de la InformaciónClasificación de la Información
• Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 SEGURIDAD DEL PERSONALSEGURIDAD DEL PERSONAL •Seguridad en la definición y la dotación deSeguridad en la definición y la dotación de tareastareas •Capacitación del usuarioCapacitación del usuario •Respuesta a incidentes y mal funcionamientoRespuesta a incidentes y mal funcionamiento de la Seguridadde la Seguridad SEGURIDAD FISICA Y AMBIENTALSEGURIDAD FISICA Y AMBIENTAL •Áreas SegurasÁreas Seguras •Seguridad de los EquiposSeguridad de los Equipos •Controles generalesControles generales
• Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 GESTION DE LAS COMUNICACIONES Y LASGESTION DE LAS COMUNICACIONES Y LAS OPERACIONESOPERACIONES •Procedimientos operativos y responsabilidadesProcedimientos operativos y responsabilidades •Planificación y aceptación del SistemaPlanificación y aceptación del Sistema •Protección contra el software malignoProtección contra el software maligno •Tares de acondicionamientoTares de acondicionamiento •Administración de la redAdministración de la red •Intercambio de información y softwareIntercambio de información y software
• Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 CONTROL DE ACCESOCONTROL DE ACCESO •Requisitos de la Organización para el control de accesoRequisitos de la Organización para el control de acceso •Administración del acceso de usuariosAdministración del acceso de usuarios •Responsabilidades de los usuariosResponsabilidades de los usuarios •Control de acceso de la RedControl de acceso de la Red •Control de acceso al Sistema OperativoControl de acceso al Sistema Operativo •Control de acceso de las AplicacionesControl de acceso de las Aplicaciones •Acceso y uso del Sistema de MonitoreoAcceso y uso del Sistema de Monitoreo •Computadoras móviles y trabajo a distanciaComputadoras móviles y trabajo a distancia
• Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 DESARROLLO Y MANTENIMIENTO DE LOSDESARROLLO Y MANTENIMIENTO DE LOS SISTEMASSISTEMAS •Requisitos de Seguridad de los SistemasRequisitos de Seguridad de los Sistemas •Seguridad de los Sistemas de AplicaciónSeguridad de los Sistemas de Aplicación •Controles CriptográficosControles Criptográficos •Seguridad de los archivos del SistemaSeguridad de los archivos del Sistema •Seguridad de los procesos de desarrollo y soporteSeguridad de los procesos de desarrollo y soporte
• Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 DIRECCION DE LA CONTINUIDAD DE LADIRECCION DE LA CONTINUIDAD DE LA ORGANIZACIONORGANIZACION •Aspectos de la dirección de continuidad de la OrganizaciónAspectos de la dirección de continuidad de la Organización CUMPLIMIENTOCUMPLIMIENTO •Cumplimiento con los requisitos legalesCumplimiento con los requisitos legales •Revisión de la Política de seguridad y del CumplimientoRevisión de la Política de seguridad y del Cumplimiento TécnicoTécnico •Consideración de las Auditorías del SistemaConsideración de las Auditorías del Sistema

Recommended

Seguridad
SeguridadSeguridad
SeguridadVivi Taz
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informaticaEmanuelcru
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoKatherine Reinoso
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamarthamnd
 
Seguridad en sistemas computacionales
Seguridad en sistemas computacionalesSeguridad en sistemas computacionales
Seguridad en sistemas computacionalesUniversidad Nororiental Gran Mariscal de Ayacucho
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIestp Instituto Superior
 
Modelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosModelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosAsociación de Marketing Bancario Argentino
 

Recommended

Seguridad
SeguridadSeguridad
SeguridadVivi Taz
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informaticaEmanuelcru
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoKatherine Reinoso
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamarthamnd
 
Seguridad en sistemas computacionales
Seguridad en sistemas computacionalesSeguridad en sistemas computacionales
Seguridad en sistemas computacionalesUniversidad Nororiental Gran Mariscal de Ayacucho
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIestp Instituto Superior
 
Modelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosModelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosAsociación de Marketing Bancario Argentino
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasArturo Hoffstadt
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesYESENIA CETINA
 
Sistema de seguridad alarma antirrobo.
Sistema de seguridad alarma antirrobo.Sistema de seguridad alarma antirrobo.
Sistema de seguridad alarma antirrobo.grancapo67
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaTheNexuss
 
Portada
PortadaPortada
PortadaAkromilla
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes JORGE MONGUI
 
Tema 4
Tema 4Tema 4
Tema 4danapop20
 
Robo de información
Robo de informaciónRobo de información
Robo de informaciónJose Palanco
 
Seguridad 2
Seguridad 2Seguridad 2
Seguridad 2cesar
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticawilmery29
 
Cripto Básica
Cripto BásicaCripto Básica
Cripto BásicaDanny_Israel
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Jaime Andrés Bello Vieda
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones EstratégicasIntegración de Soluciones Estrategicas
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Víctor Acosta Santivañez
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshareb1cceliagonzalez
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Seguridad
SeguridadSeguridad
SeguridadVictor Medina Gomez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaAlex Espinoza
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Haruckar
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2danny1712
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2danny1712
 

More Related Content

What's hot

Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasArturo Hoffstadt
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesYESENIA CETINA
 
Sistema de seguridad alarma antirrobo.
Sistema de seguridad alarma antirrobo.Sistema de seguridad alarma antirrobo.
Sistema de seguridad alarma antirrobo.grancapo67
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaTheNexuss
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes JORGE MONGUI
 
Robo de información
Robo de informaciónRobo de información
Robo de informaciónJose Palanco
 
Seguridad 2
Seguridad 2Seguridad 2
Seguridad 2cesar
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticawilmery29
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Jaime Andrés Bello Vieda
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Víctor Acosta Santivañez
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshareb1cceliagonzalez
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 

What's hot (17)

Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de Sistemas
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redes
 
Sistema de seguridad alarma antirrobo.
Sistema de seguridad alarma antirrobo.Sistema de seguridad alarma antirrobo.
Sistema de seguridad alarma antirrobo.
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informatica
 
Portada
PortadaPortada
Portada
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
 
Tema 4
Tema 4Tema 4
Tema 4
 
Robo de información
Robo de informaciónRobo de información
Robo de información
 
Seguridad 2
Seguridad 2Seguridad 2
Seguridad 2
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Cripto Básica
Cripto BásicaCripto Básica
Cripto Básica
 
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
Una mirada a la Active Defense Harbinger Distribution como herramienta de mon...
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshare
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 

Similar to Seguridad informática

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaAlex Espinoza
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Haruckar
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2danny1712
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2danny1712
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoJhanz Sanchez
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Jose Flores
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticasantidg
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticasantidg
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticasantidg
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticasantidg
 
Seguridad informatica unidad I Conceptos Básicos
Seguridad informatica unidad I Conceptos BásicosSeguridad informatica unidad I Conceptos Básicos
Seguridad informatica unidad I Conceptos BásicosLisby Mora
 

Similar to Seguridad informática (20)

Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014Temas i examen seguridad informatica 2014
Temas i examen seguridad informatica 2014
 
Seguridad sistemasinformacion
Seguridad sistemasinformacionSeguridad sistemasinformacion
Seguridad sistemasinformacion
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentación
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Cid
CidCid
Cid
 
seguridad
seguridadseguridad
seguridad
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica unidad I Conceptos Básicos
Seguridad informatica unidad I Conceptos BásicosSeguridad informatica unidad I Conceptos Básicos
Seguridad informatica unidad I Conceptos Básicos
 

Recently uploaded

Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxolgakaterin
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfFrancisco158360
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 

Recently uploaded (20)

Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 

Seguridad informática

  • 1.
  • 2. Origen de los problemas de Seguridad Informática Origen de los problemas de Seguridad Informática
  • 3.  ““LA SEGURIDAD INFORMATICA ES UNLA SEGURIDAD INFORMATICA ES UN CAMINO, NO UN DESTINO”CAMINO, NO UN DESTINO” Objetivo: mantener los sistemas generandoObjetivo: mantener los sistemas generando resultados.resultados. Si los sistemas no se encuentran funcionandoSi los sistemas no se encuentran funcionando entonces su costo se convierte en perdidasentonces su costo se convierte en perdidas financieras (en el menos grave de los casos).financieras (en el menos grave de los casos). El resultado generado por un sistema es laEl resultado generado por un sistema es la INFORMACION que ALMACENA O PRODUCE.INFORMACION que ALMACENA O PRODUCE. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 4.  La seguridad informática NO es un problemaLa seguridad informática NO es un problema exclusivamente de las computadoras.exclusivamente de las computadoras.  Las computadoras y las redes son el principal campoLas computadoras y las redes son el principal campo de batalla.de batalla.  Se debe de proteger aquello que tenga un valor paraSe debe de proteger aquello que tenga un valor para alguien.alguien. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 5.  ¿Qué la seguridad informática?¿Qué la seguridad informática?  Políticas, procedimientos y técnicas para asegurar laPolíticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos yintegridad, disponibilidad y confiabilidad de datos y sistemas.sistemas.  Prevenir y detectar amenazas. Responder de unaPrevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente.forma adecuada y con prontitud ante un incidente.  Proteger y Mantener los sistemas funcionando.Proteger y Mantener los sistemas funcionando. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 6.  ¿Por qué la seguridad informática?¿Por qué la seguridad informática?  Por $$$, el dueño de los sistemas tiene dineroPor $$$, el dueño de los sistemas tiene dinero INVERTIDO en algo que le trae un beneficio oINVERTIDO en algo que le trae un beneficio o ventaja.ventaja.  El Cracking a otros sistemas desde cualquier puntoEl Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendiéndonos ante elde vista es ilegal. Estamos defendiéndonos ante el crimen. (aunque no haya leyes).crimen. (aunque no haya leyes).  Por CALIDAD, hay que acostumbrarnos a hacer lasPor CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste más esfuerzo.cosas bien, aunque cueste más esfuerzo. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 7.  ¿De donde surge la seguridad?¿De donde surge la seguridad?  ““Tecnológicamente, la seguridad es GRATIS”Tecnológicamente, la seguridad es GRATIS”  YA HAS PAGADO POR ELLA:YA HAS PAGADO POR ELLA:  Los sistemas operativos modernos contienen muchasLos sistemas operativos modernos contienen muchas características de seguridad.características de seguridad. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 8.  La Seguridad Informática es Fácil:La Seguridad Informática es Fácil:  ““Con el 20% de esfuerzo se puede lograr el 80% deCon el 20% de esfuerzo se puede lograr el 80% de resultados”resultados”  Actividades sencillas pero constantes son las queActividades sencillas pero constantes son las que evitan la mayoría de los problemas.evitan la mayoría de los problemas.  Se debe de trabajar en crear MECANISMOS deSe debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridadseguridad que usan las TECNICAS de seguridad adecuadas según lo que se quiera proteger.adecuadas según lo que se quiera proteger. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 11.  Usuarios comunes:Usuarios comunes:  Los usuarios se acostumbran a usar la tecnología sinLos usuarios se acostumbran a usar la tecnología sin saber como funciona o de los riesgos que puedensaber como funciona o de los riesgos que pueden correr.correr.  Son el punto de entrada de muchos de losSon el punto de entrada de muchos de los problemas crónicos.problemas crónicos.  Son “El eslabón más débil” en la cadena deSon “El eslabón más débil” en la cadena de seguridad.seguridad. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 12.  2 enfoques para controlarlos:  Principio del MENOR PRIVILEGIO POSIBLE:Principio del MENOR PRIVILEGIO POSIBLE: Reducir la capacidad de acción del usuario sobre losReducir la capacidad de acción del usuario sobre los sistemas.sistemas. Objetivo: Lograr el menor daño posible en caso deObjetivo: Lograr el menor daño posible en caso de incidentes.incidentes.  EDUCAR AL USUARIO:EDUCAR AL USUARIO: Generar una cultura de seguridad. El usuario ayudaGenerar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad.a reforzar y aplicar los mecanismos de seguridad. Objetivo: Reducir el número de incidentesObjetivo: Reducir el número de incidentes SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 14.  Creando Software:  El software moderno es muy complejo y tiene una altaEl software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad.probabilidad de contener vulnerabilidades de seguridad.  Un mal proceso de desarrollo genera software de malaUn mal proceso de desarrollo genera software de mala calidad. “Prefieren que salga mal a que salga tarde”.calidad. “Prefieren que salga mal a que salga tarde”.  Usualmente no se enseña a incorporar requisitos niUsualmente no se enseña a incorporar requisitos ni protocolos de seguridad en los productos de SW.protocolos de seguridad en los productos de SW. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 15.  Propiedades de la Información en un “Trusted System”  Confidencialidad: Asegurarse que la información enConfidencialidad: Asegurarse que la información en un sistema de cómputo y la transmitida por un medioun sistema de cómputo y la transmitida por un medio de comunicación, pueda ser leída SOLO por lasde comunicación, pueda ser leída SOLO por las personas autorizadas.personas autorizadas.  Autenticación: Asegurarse que el origen de unAutenticación: Asegurarse que el origen de un mensaje o documento electrónico esta correctamentemensaje o documento electrónico esta correctamente identificado, con la seguridad que la entidad emisoraidentificado, con la seguridad que la entidad emisora o receptora no esta suplantada.o receptora no esta suplantada. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 16.  Integridad: Asegurarse que solo el personalIntegridad: Asegurarse que solo el personal autorizado sea capaz de modificar la información oautorizado sea capaz de modificar la información o recursos de cómputo.recursos de cómputo.  No repudiación: Asegurarse que ni el emisor oNo repudiación: Asegurarse que ni el emisor o receptor de un mensaje o acción sea capaz de negarreceptor de un mensaje o acción sea capaz de negar lo hecho.lo hecho.  Disponibilidad: Requiere que los recursos de unDisponibilidad: Requiere que los recursos de un sistema de cómputo estén disponibles en el momentosistema de cómputo estén disponibles en el momento que se necesiten.que se necesiten. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 17. • Ataques contra el flujo de la información  FLUJO NORMALFLUJO NORMAL  Los mensajes en una red se envían a partir de un emisor aLos mensajes en una red se envían a partir de un emisor a uno o varios receptoresuno o varios receptores  El atacante es un tercer elemento; en la realidad existenEl atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales omillones de elementos atacantes, intencionales o accidentales.accidentales. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 18.  INTERRUPCIONINTERRUPCION  El mensaje no puede llegar a su destino, un recurso delEl mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado.sistema es destruido o temporalmente inutilizado.  Este es un ataque contra la DisponibilidadEste es un ataque contra la Disponibilidad  Ejemplos: Destrucción de una pieza de hardware, cortar losEjemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas demedios de comunicación o deshabilitar los sistemas de administración de archivos.administración de archivos. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 19.  INTERCEPCIONINTERCEPCION  Una persona, computadora o programa sin autorizaciónUna persona, computadora o programa sin autorización logra el acceso a un recurso controlado.logra el acceso a un recurso controlado.  Es un ataque contra la Confidencialidad.Es un ataque contra la Confidencialidad.  Ejemplos: Escuchas electrónicos, copias ilícitas deEjemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios.programas o datos, escalamiento de privilegios. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 20.  MODIFICACIONMODIFICACION  La persona sin autorización, además de lograr el acceso,La persona sin autorización, además de lograr el acceso, modifica el mensaje.modifica el mensaje.  Este es un ataque contra laEste es un ataque contra la IntegridadIntegridad..  Ejemplos: Alterar la información que se transmite desde unaEjemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas parabase de datos, modificar los mensajes entre programas para que se comporten diferente.que se comporten diferente. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 21.  FABRICACIONFABRICACION  Una persona sin autorización inserta objetos falsos en elUna persona sin autorización inserta objetos falsos en el sistema.sistema.  Es un ataque contra laEs un ataque contra la AutenticidadAutenticidad..  Ejemplos: Suplantación de identidades, robo de sesiones,Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc...robo de contraseñas, robo de direcciones IP, etc...  Es muy difícil estar seguro de quién esta al otro lado de laEs muy difícil estar seguro de quién esta al otro lado de la línea.línea. Emisor Receptor Atacante SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 23.  Para que esperar…  ““Si gastas más dinero en café que en SeguridadSi gastas más dinero en café que en Seguridad Informática, entonces vas a ser hackeado, es más,Informática, entonces vas a ser hackeado, es más, mereces ser hackeado”mereces ser hackeado”  La mayoría de las empresas incorporan medidas deLa mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas.seguridad hasta que han tenido graves problemas. ¿para que esperarse?¿para que esperarse? SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 24.  Siempre tenemos algo de valor para alguienSiempre tenemos algo de valor para alguien  Razones para atacar la red de una empresa:Razones para atacar la red de una empresa:  $$$, ventaja económica, ventaja competitiva, espionaje$$$, ventaja económica, ventaja competitiva, espionaje político, espionaje industrial, sabotaje,…político, espionaje industrial, sabotaje,…  Empleados descontentos, fraudes, extorsiones, (insiders).Empleados descontentos, fraudes, extorsiones, (insiders).  Espacio de almacenamiento, ancho de banda, servidores deEspacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo, etc…correo (SPAM), poder de cómputo, etc…  Objetivo de oportunidad.Objetivo de oportunidad. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 25.  Siempre hay algo que perder:Siempre hay algo que perder:  ¿Cuánto te cuesta tener un sistema de cómputo¿Cuánto te cuesta tener un sistema de cómputo detenido por causa de un incidente de seguridad?detenido por causa de un incidente de seguridad?  Costos económicos (perder oportunidades de negocio).Costos económicos (perder oportunidades de negocio).  Costos de recuperación.Costos de recuperación.  Costos de reparación.Costos de reparación.  Costos de tiempo.Costos de tiempo.  Costos legales y judiciales.Costos legales y judiciales.  Costos de imagen.Costos de imagen.  Costos de confianza de clientes.Costos de confianza de clientes.  Perdidas humanas (cuando sea el caso).Perdidas humanas (cuando sea el caso). SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 26.  ¿Qué hacer?¿Qué hacer?  Los altos niveles de la empresa tienen que apoyar yLos altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad.patrocinar las iniciativas de seguridad.  Las políticas y mecanismos de seguridad deben deLas políticas y mecanismos de seguridad deben de exigirse para toda la empresa.exigirse para toda la empresa.  Con su apoyo se puede pasar fácilmente a enfrentarCon su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar delos problemas de manera proactiva (en lugar de reactiva como se hace normalmente)reactiva como se hace normalmente) SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 28.  Cracking:Cracking:  Los ataques son cada vez mas complejos.Los ataques son cada vez mas complejos.  Cada vez se requieren menos conocimientos paraCada vez se requieren menos conocimientos para iniciar un ataque.iniciar un ataque.  México es un paraíso para el cracking.México es un paraíso para el cracking.  ¿Por qué alguien querría introducirse en mis sistemas?¿Por qué alguien querría introducirse en mis sistemas?  ¿Por qué no? Si es tan fácil:¿Por qué no? Si es tan fácil:  DescuidosDescuidos  DesconocimientoDesconocimiento  Negligencias (factores humanos).Negligencias (factores humanos). SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 29.  ¿Quienes atacan los sistemas?¿Quienes atacan los sistemas? Gobiernos Extranjeros.Gobiernos Extranjeros. Espías industriales o políticos.Espías industriales o políticos. Criminales.Criminales. Empleados descontentos y abusos internos.Empleados descontentos y abusos internos. Adolescentes sin nada que hacerAdolescentes sin nada que hacer SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 30.  Niveles de Hackers:Niveles de Hackers:  Nivel 3:Nivel 3: (ELITE) Expertos en varias áreas de la informática, son los que(ELITE) Expertos en varias áreas de la informática, son los que usualmente descubren los puntos débiles en los sistemas y puedenusualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos.crear herramientas para explotarlos.  Nivel 2:Nivel 2: Tienen un conocimiento avanzado de la informática y puedenTienen un conocimiento avanzado de la informática y pueden obtener las herramientas creadas por los de nivel 3, pero pueden darleobtener las herramientas creadas por los de nivel 3, pero pueden darle usos más preciso de acuerdo a los intereses propios o de un grupo.usos más preciso de acuerdo a los intereses propios o de un grupo.  Nivel 1Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los deo Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero las ejecutan contra una víctima muchas veces sin saber lonivel 3, pero las ejecutan contra una víctima muchas veces sin saber lo que están haciendo.Son los que con más frecuencia realizan ataquesque están haciendo.Son los que con más frecuencia realizan ataques serios.serios. Cualquiera conectado a la red es una víctima potencial, sin importar aCualquiera conectado a la red es una víctima potencial, sin importar a que se dedique, debido a que muchos atacantes sólo quieren probarque se dedique, debido a que muchos atacantes sólo quieren probar que pueden hacer un hack por diversión.que pueden hacer un hack por diversión. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 32.  ADMINISTRADORES DE TI:ADMINISTRADORES DE TI:  Son los que tienen directamente la responsabilidad de vigilar a losSon los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas).otros roles. (aparte de sus sistemas).  Hay actividades de seguridad que deben de realizar de maneraHay actividades de seguridad que deben de realizar de manera rutinaria.rutinaria.  Obligados a capacitarse, investigar, y proponer soluciones eObligados a capacitarse, investigar, y proponer soluciones e implementarlas.implementarlas.  También tiene que ser hackers: Conocer al enemigo, proponerTambién tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.soluciones inteligentes y creativas para problemas complejos. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 33. Puntos Débiles en los Sistemas Comunicaciones Almacenamiento de datos Sistema Operativo Servicios Públicos Aplicación Usuarios Servicios Internos SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 34.  Qué se debe asegurar ?Qué se debe asegurar ? Siendo que la información debe considerarse como un recursoSiendo que la información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valorcon el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos, debe estarpara éstas, al igual que el resto de los activos, debe estar debidamente protegida.debidamente protegida.  ¿Contra qué se debe proteger la Información ?¿Contra qué se debe proteger la Información ? La Seguridad de la Información, protege a ésta de una ampliaLa Seguridad de la Información, protege a ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción,gama de amenazas, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden deliberado, tal comoincendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.fraude, espionaje, sabotaje, vandalismo, etc. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 35.  ¿Qué se debe garantizar?¿Qué se debe garantizar?  ConfidencialidadConfidencialidad: Se garantiza que la información es: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener accesoaccesible sólo a aquellas personas autorizadas a tener acceso a la misma.a la misma.  IntegridadIntegridad: Se salvaguarda la exactitud y totalidad de la: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.información y los métodos de procesamiento.  DisponibilidadDisponibilidad: Se garantiza que los usuarios autorizados: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionadostienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.con la misma toda vez que se requiera. SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 36.
  • 37.  ¿Porqué aumentan las amenazas?¿Porqué aumentan las amenazas? Las Organizaciones son cada vez mas dependientes de susLas Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Información, por lo tanto podemosSistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazasafirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad. Algunas causas son:concernientes a su seguridad. Algunas causas son: Crecimiento exponencial de las Redes y Usuarios InterconectadosCrecimiento exponencial de las Redes y Usuarios Interconectados Profusión de las BD On-LineProfusión de las BD On-Line Inmadurez de las Nuevas TecnologíasInmadurez de las Nuevas Tecnologías Alta disponibilidad de Herramientas Automatizadas de AtaquesAlta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Técnicas de Ataque Distribuido (Ej:DDoS)Nuevas Técnicas de Ataque Distribuido (Ej:DDoS) Técnicas de Ingeniería SocialTécnicas de Ingeniería Social SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 38.  ¿Cuáles son las amenazas?¿Cuáles son las amenazas?  AccidentesAccidentes:: Averías, Catástrofes, Interrupciones..  ErroresErrores:: de Uso, Diseño, Control..  Intencionales PresencialesIntencionales Presenciales:: Atentado con acceso físico no autorizado.  Intencionales RemotasIntencionales Remotas: Requieren acceso al canal de comunicación: Requieren acceso al canal de comunicación.. InterceptaciónInterceptación pasiva de la información (amenaza a lapasiva de la información (amenaza a la CONFIDENCIALIDAD).CONFIDENCIALIDAD). Corrupción o destrucciónCorrupción o destrucción de la información (amenaza a lade la información (amenaza a la INTEGRIDAD).INTEGRIDAD). Suplantación de origenSuplantación de origen (amenaza a la AUTENTICACIÓN)(amenaza a la AUTENTICACIÓN) SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 39.  ¿Cómo resolver el desafío de la seguridad¿Cómo resolver el desafío de la seguridad informática?informática? Las tres primeras tecnologías de protección más utilizadas son el controlLas tres primeras tecnologías de protección más utilizadas son el control de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%)de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%) Los ataques más comunes durante el último año fueron los virusLos ataques más comunes durante el último año fueron los virus informáticos (27%) y el spammimg de correo electrónico (17%) seguido deinformáticos (27%) y el spammimg de correo electrónico (17%) seguido de cerca (con un 10%) por los ataques de denegación de servicio y el robo decerca (con un 10%) por los ataques de denegación de servicio y el robo de notebook:notebook: El problema de la Seguridad Informática está en suEl problema de la Seguridad Informática está en su GerenciamientoGerenciamiento y no en las tecnologías disponiblesy no en las tecnologías disponibles SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 40. Por ahora ....Por ahora .... Protección de la Información Confidencialidad Integridad Disponibilidad Amenazas Internas Externas Gerenciar Seguridad InformáticaGerenciar Seguridad Informática SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 41. Aspectos LegalesAspectos Legales SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 42. Contamos con Seguridad Informática ....Contamos con Seguridad Informática .... SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 43. • Requerimiento básicoRequerimiento básico •Apoyo de la Alta GerenciaApoyo de la Alta Gerencia •RRHH con conocimientos y experienciaRRHH con conocimientos y experiencia •RRHH capacitados para el día a díaRRHH capacitados para el día a día •Recursos EconómicosRecursos Económicos •TiempoTiempo SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 44. • Análisis de RiesgosAnálisis de Riesgos •Se considera Riesgo Informático, a todo factor que puedaSe considera Riesgo Informático, a todo factor que pueda generar una disminución en:generar una disminución en: Confidencialidad – Disponibilidad - IntegridadConfidencialidad – Disponibilidad - Integridad •Determina la probabilidad de ocurrenciaDetermina la probabilidad de ocurrencia •Determina el impacto potencialDetermina el impacto potencial SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 45. • Modelo de GestiónModelo de Gestión ActivosActivos AmenazasAmenazas ImpactosImpactos VulnerabilidadesVulnerabilidades RiesgosRiesgos FunciónFunción CorrectivaCorrectiva ReduceReduce FunciónFunción PreventivaPreventiva ReduceReduce SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
  • 46. • Política de Seguridad:Política de Seguridad: ““Conjunto de Normas y ProcedimientosConjunto de Normas y Procedimientos documentadosdocumentados yy comunicadoscomunicados, que tienen por, que tienen por objetivo minimizar los riesgos informáticos masobjetivo minimizar los riesgos informáticos mas probables”probables” InvolucraInvolucra •Uso de herramientasUso de herramientas •Cumplimiento de Tareas porCumplimiento de Tareas por parte de personasparte de personas
  • 47. • Plan de ContingenciasPlan de Contingencias ““Conjunto de Normas y ProcedimientosConjunto de Normas y Procedimientos documentadosdocumentados yy comunicadoscomunicados, cuyo objetivo es, cuyo objetivo es recuperar operatividad mínima en un lapsorecuperar operatividad mínima en un lapso adecuado a la misión del sistema afectado, anteadecuado a la misión del sistema afectado, ante emergencias generadas por los riesgosemergencias generadas por los riesgos informáticos”informáticos” InvolucraInvolucra •Uso de herramientasUso de herramientas •Cumplimiento de Tareas porCumplimiento de Tareas por parte de personasparte de personas
  • 48. • Control por OposiciónControl por Oposición •Auditoría Informática Interna capacitadaAuditoría Informática Interna capacitada •Equipo de Control por Oposición FormalizadoEquipo de Control por Oposición Formalizado •Outsourcing de AuditoríaOutsourcing de Auditoría
  • 49. • Herramientas:Herramientas: •Copias de ResguardoCopias de Resguardo •Control de AccesoControl de Acceso •EncriptaciónEncriptación •AntivirusAntivirus •Barreras de ProtecciónBarreras de Protección •Sistemas de Detección de IntrusionesSistemas de Detección de Intrusiones
  • 50. • Uso de EstándaresUso de Estándares NORMA ISO/IRAM 17799NORMA ISO/IRAM 17799
  • 51. • Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 Estándares InternacionalesEstándares Internacionales - Norma basada en la BS 7799- Norma basada en la BS 7799 - Homologada por el IRAM- Homologada por el IRAM
  • 52. • Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 ORGANIZACION DE LA SEGURIDADORGANIZACION DE LA SEGURIDAD •Infraestructura de la Seguridad de la InformaciónInfraestructura de la Seguridad de la Información •Seguridad del Acceso de tercerosSeguridad del Acceso de terceros •Servicios provistos por otras OrganizacionesServicios provistos por otras Organizaciones CLASIFICACION Y CONTROL DE BIENESCLASIFICACION Y CONTROL DE BIENES •Responsabilidad de los BienesResponsabilidad de los Bienes •Clasificación de la InformaciónClasificación de la Información
  • 53. • Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 SEGURIDAD DEL PERSONALSEGURIDAD DEL PERSONAL •Seguridad en la definición y la dotación deSeguridad en la definición y la dotación de tareastareas •Capacitación del usuarioCapacitación del usuario •Respuesta a incidentes y mal funcionamientoRespuesta a incidentes y mal funcionamiento de la Seguridadde la Seguridad SEGURIDAD FISICA Y AMBIENTALSEGURIDAD FISICA Y AMBIENTAL •Áreas SegurasÁreas Seguras •Seguridad de los EquiposSeguridad de los Equipos •Controles generalesControles generales
  • 54. • Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 GESTION DE LAS COMUNICACIONES Y LASGESTION DE LAS COMUNICACIONES Y LAS OPERACIONESOPERACIONES •Procedimientos operativos y responsabilidadesProcedimientos operativos y responsabilidades •Planificación y aceptación del SistemaPlanificación y aceptación del Sistema •Protección contra el software malignoProtección contra el software maligno •Tares de acondicionamientoTares de acondicionamiento •Administración de la redAdministración de la red •Intercambio de información y softwareIntercambio de información y software
  • 55. • Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 CONTROL DE ACCESOCONTROL DE ACCESO •Requisitos de la Organización para el control de accesoRequisitos de la Organización para el control de acceso •Administración del acceso de usuariosAdministración del acceso de usuarios •Responsabilidades de los usuariosResponsabilidades de los usuarios •Control de acceso de la RedControl de acceso de la Red •Control de acceso al Sistema OperativoControl de acceso al Sistema Operativo •Control de acceso de las AplicacionesControl de acceso de las Aplicaciones •Acceso y uso del Sistema de MonitoreoAcceso y uso del Sistema de Monitoreo •Computadoras móviles y trabajo a distanciaComputadoras móviles y trabajo a distancia
  • 56. • Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 DESARROLLO Y MANTENIMIENTO DE LOSDESARROLLO Y MANTENIMIENTO DE LOS SISTEMASSISTEMAS •Requisitos de Seguridad de los SistemasRequisitos de Seguridad de los Sistemas •Seguridad de los Sistemas de AplicaciónSeguridad de los Sistemas de Aplicación •Controles CriptográficosControles Criptográficos •Seguridad de los archivos del SistemaSeguridad de los archivos del Sistema •Seguridad de los procesos de desarrollo y soporteSeguridad de los procesos de desarrollo y soporte
  • 57. • Norma ISO/IRAM 17.799Norma ISO/IRAM 17.799 DIRECCION DE LA CONTINUIDAD DE LADIRECCION DE LA CONTINUIDAD DE LA ORGANIZACIONORGANIZACION •Aspectos de la dirección de continuidad de la OrganizaciónAspectos de la dirección de continuidad de la Organización CUMPLIMIENTOCUMPLIMIENTO •Cumplimiento con los requisitos legalesCumplimiento con los requisitos legales •Revisión de la Política de seguridad y del CumplimientoRevisión de la Política de seguridad y del Cumplimiento TécnicoTécnico •Consideración de las Auditorías del SistemaConsideración de las Auditorías del Sistema