Información Por qué hay que cuidarla?

Transcripción

1

2 Información Por qué hay que cuidarla? Al igual que las finanzas, el personal y la cartera de clientes, hoy en día uno de los activos mas valiosos de una organización es: LA INFORMACIÓN Y EL CONOCIMIENTO Información sensible de clientes Competitividad Desarrollo Soporte de decisiones Reputación Poder

3 Auditoria de Sistemas Algunas definiciones Una recopilación, acumulación y evaluación de evidencia sobre información y los sistemas de una entidad. Una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptados.

4 Pruebas De cumplimiento: Analizan y determinan los controles del sistema, trabajando directamente sobre el comportamiento del mismo. Sustantivas: Analizan el contenido residente en medios de almacenamiento

5 Auditoría de sistemas Tipos de controles: } Preventivos: su finalidad es reducir la ocurrencia del hecho. } Detectivos: descubren cuando sucedió el hecho } Correctivos: una vez detectado, intentan corregir el hecho.

6 La seguridad absoluta es posible? Tipos de Riesgos Naturales Errores y Omisiones humanos Actos intencionales

7 Funciones (o finalidades) de la seguridad informática } Evitar } Disuadir } Prevenir } Detectar } Recuperar y corregir

8 Estrategia de seguridad Cada sistema es único y por lo tanto la política de seguridad a implementar no será única } Minimizando la posibilidad de ocurrencia } Reduciendo al mínimo el perjuicio sufrido } Diseño de métodos para la mas rápida recuperación de los daños experimentados

9 Analisis de Riesgos Risk management Riesgo: Toda amenaza que puede atentar contra el logro de un objetivo. Qué puede fallar-pasar? } Identifico Riesgos } Evalúo y Mido riesgos } Tomo decisiones

10 Beneficios del análisis de riesgo Permite mejorar las decisiones de respuesta de riesgo Hace mas previsible a una organización Permite nivel adecuado de decisión Deslinda responsabilidad exclusiva del Management

11 Evaluación de riesgos Medición inherente Identificacion y evaluacion de controles Medición residual Medición inherente CONTROLES Medición residual

12 Matriz de Riesgo Impacto: Conjunto de posibles efectos negativos sobre la organización en todos sus niveles. Probabilidad de ocurrencia: Manifestación numérica de la posible concreción de un hecho.

13 A - Resguardo adecuado de las copias de seguridad. X X X Valor residual X Riesgo Residual Probabilidad X Probabilidad Impacto Manual X Reduce Impacto M Detectivo Preventivo Valor riesgo - Copia de seguridad diaria de las operaciones. A Tipo de control Controles Sistémico Posibilidad de que información crítica para la empresa, se destruya o modifique, accidental o intencionalmente. Probabilidad Riesgo Impacto Riesgo Inherente M M M

14 Plan Desastre

15 Plan Desastre Negocios dependen fuertemente de la tecnología Sistematización y automatización de procesos La interrupción de estos, podría causar serias pérdidas financieras, prestigio, clientes, etc.

16 Estamos realmente preparados para una catástrofe?

17 Plan Desastre Un plan de recuperación de desastres es una declaración de acciones consecuentes que se deben realizar antes, durante y después del desastre. Este plan debe ser probado y registrado para asegurar la continuidad de las operaciones y la disponibilidad de los recursos necesarios en caso de desastre. Estructurar un plan antes de que se llegue a necesitar.

18 Seguridad Informática

19 Qué es la Seguridad Informática? Es un conjunto de métodos y herramientas destinadas a proteger la información, sea cual fuere su tipología ( digital, impresa, conocimientos) y a los procesos, personas, dispositivos, sistemas, etc. Que utilizan de diversas formas esta información, ante cualquier tipo de amenaza que pudiera atentar contra su Integridad, Confidencialidad y/o Disponibilidad La seguridad informática no es un producto, sino un PROCESO CONTINUO E INTEGRAL en el cual participan diversos actores en forma permanente. (personas, tecnología, procesos)

20 Seguridad Informática Tiende a conservar: Integridad: La información debe ser completa exacta y valida. Y tiene que ser protegida contra alteraciones, modificaciones, o cambios no autorizados, adicionalmente no debe ser perdida, modificada o corrompida. Confidencialidad: La información sensitiva debe ser revelada solo a los individuos autorizados en el momento indicado. Es decir, debe ser protegida de divulgación no autorizada o prematura. Disponibilidad: La característica de accesibilidad a la información para uso inmediato, implica que los sistemas de información funcionan de acuerdo a lo programado, los datos están disponibles para su uso y son fácilmente recuperables en caso de pérdida.

21 Seguridad Física y Lógica NUNCA PASA NADA HASTA QUE PASA

22 Seguridad Física Principales Amenazas: 1. Desastres Naturales 2. Errores y Omisiones 3. Sabotajes internos y externos

23 Seguridad Física Riesgo de Incendio Materiales ignífugos. Detectado por sensores de temperatura y de humo. La extinción se puede dar mediante matafuegos, Rociadores de agua (Sprinklers). Inundación del área con un gas especial (Bióxido de carbono, Halon 1301, etc.) No debe estar permitido fumar en el área de proceso.

24 Seguridad Física Riesgo de Incendio Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables. El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.

25 Seguridad Física Pisos de Placas Extraíbles: Los cables de alimentación, comunicaciones, interconexión de equipos, receptáculos asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extraíbles, debajo del mismo Cableado de Alto Nivel de Seguridad: cableados de redes que se recomiendan para instalaciones con grado de seguridad. El objetivo es impedir la posibilidad de infiltraciones y monitoreo de la información que circula por el cable. Consta de un sistema de tubos (herméticamente cerrados) por cuyo interior circula aire a presión y el cable. A lo largo de la tubería hay sensores conectados a una computadora. Si se detecta algún tipo de variación de presión se dispara un sistema de alarma.

26 Seguridad Física Riesgo de Terremotos e Inundaciones: Informes climatológicos que notifique la proximidad de una catástrofe climática Corte de electricidad Construir un techo impermeable para evitar el paso de agua desde un nivel superior Acondicionar las puertas para contener el agua que bajase por las escaleras

27 Seguridad Física Prevención de robo, intrusión o asalto Circuito cerrado de televisión (CCTV). Personal de seguridad. Sensor de movimiento. Barreras infrarrojas. Edificios inteligentes.

28 SEGURIDAD LOGICA La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Prevenir el acceso indebido a individuos no autorizados Acceso a sistemas solo para determinadas tareas ü Controles de acceso ü Perfiles de usuario Identificación: el usuario se da a conocer en el sistema Autenticación: la verificación que realiza el sistema sobre esta identificación. Autorización

29 Autenticación Eficaz ALGO QUE SOY + ALGO QUE TENGO + ALGO QUE SE

30 Algo que soy Utilización de sistemas biométricos: üemisión de Calor: Se mide la emisión de calor del cuerpo (termograma), realizando un mapa de valores sobre la forma de cada persona. ühuella Digital: Basado en el principio de que no existen dos huellas dactilares iguales. El método es sumamente confiable.

31 Algo que soy Distintos tonos de voz Verificación de Voz: La dicción de una (o más) frase es grabada y en el acceso se compara la vos (entonación, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc.

32 Algo que soy ü Verificación de Patrones Oculares: Estos modelos pueden estar basados en los patrones del iris o de la retina y hasta el momento son los considerados más efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0).

33 Algo que soy Verificación Automática de Firmas (VAF): Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona. La VAF, registra las emisiones acústicas del proceso dinámico de firmar o de escribir, estas constituyen un patrón único en cada individuo. El equipamiento de colección de firmas es de bajo costo y robusto.

34 ALGO QUE TENGO Nos permiten ingresar a un lugar o a un sistema } Tarjetas magnéticas } Una llave } Identificación personal } Token

35 ALGO QUE TENGO Token: Es un dispositivo del tamaño de un pen drive, con una pantalla de cristal liquido. Un Token OTP funciona mediante un mecanismo que genera una clave distinta y de un solo uso. ("One Time Password", OTP) el usuario ingresa una clave y luego el token muestra un ID que puede ser usado para ingresar a una red. Los IDs cambian cada 60 segundos.

36 ALGO QUE SE Como crear una Password Fuerte.. Y recordarla } Escribir fonéticamente: magali= emeageaelei } Cuanto más extensas, más eficientes. } No utilizar caracteres secuenciales: 1234, qwerty, etc. } Utilizar mayúsculas y minúsculas. } Utilizar caracteres especiales y números. } Utilizar una frase escondida: A las 6 am tomo café con leche } RECURSO BARATO Y EFECTIVO.

37 ALGO QUE SE ü Passwords: Cambiarlas frecuentemente. NUNCA JAMÁS anotarlas en ningún lugar, ni tampoco tener un archivo con claves. NUNCA NUNCA JAMÁS decirlas o compartirlas.

38 Encriptación (Cifrado) Encriptación: es un proceso para volver ilegible información considera importante. La información. una vez encriptada sólo puede leerse aplicándole una clave.

39 Encriptación (Cifrado) La clave es un valor que es independiente del texto o mensaje a cifrar. El algoritmo va a producir una salida diferente para el mismo texto de entrada dependiendo de la clave utilizada.

40 Encriptación (Cifrado) Modelos Convencional o de Clave Privada: Consta de dos partes, un algoritmo y una clave. Una vez cifrado, el mensaje puede ser transmitido. El mensaje original puede ser recuperado a través de un algoritmo de desencriptación y la clave usada para la encriptación. 40

41 Encriptación (Cifrado) Modelos Criptografía de Clave Pública: Los algoritmos de criptografía pública se basan en una clave para encriptación y una clave relacionada pero distinta para la desencriptación.

42 Back up: Copia de seguridad Ø Riesgo de pérdida o transformación de información Ø Permite restaurar la información y su sistema después de una catástrofe. Ø Puedes restaurar datos después de que éstos hayan sido eliminados o dañados imprevistamente. Ø Los backups pueden hacerse en dispositivos externos:cd, DVD, pendrives, discos rígidos o pueden realizarse en un centro de respaldo propio mediante Internet.

43 Back up: Copia de Seguridad }Resguardo de back up en un lugar seguro }No olvidar encriptar el back up!! }Sincronización vs Back up: Sincronizar es tomar una foto de la información El back up es un proceso continuo, en donde se pueden observar las transformaciones de dicha información }Dia internacional del back up : 31 de Marzo }Frecuencia no mas de una semana

44 Firewall Beneficios Riesgo: Desprotección contra malware e intrusos al conectarse a Internet. Manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estarían expuestas a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.

45 Firewall Beneficios }Ancho de banda "consumido" por el trafico de la red se utiliza para economizar. }Monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.

46 Firewall - Limitaciones Es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. No son sistemas inteligentes, actúan de acuerdo a parámetros introducidos por su diseñador NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta.

47 Firewall - Limitaciones El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado

48 Corporaciones Amenazas y Riesgos: } Infección por virus, gusanos, troyanos, etc. } Espionaje de información por el uso de Spyware; Robo de identidad; invasión a la privacidad } Quedar en lista negra por Spammer } Adulteración, desvío o destrucción de la información

49 Corporaciones } Realizar delitos a terceros con recursos de la empresa, perjudicando la imagen de la firma } Transferencias de fondos no deseadas } Interrupción de las operaciones } Intervención de telecomunicaciones } Pérdida de clientes

50 Ingeniería Social El factor mas inseguro es el HUMANO } } } } } } } } Aprovechamiento del comportamiento humano para la obtención de información: Exceso de confianza y credibilidad Desatención Desprolijidad Curiosidad Deshonestidad Despecho u odio hacia la organización Temor ante acciones de superiores Existencia de información pública

51 Ingeniería Social Acciones especificas sobre la futura victima: Seguimiento Búsquedas en internet Phishing Shoulder surfing

52 Anti Virus Formas de contagio: Instalación por el usuario, ejecuta el programa sin darse cuenta Los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.

53 Anti Virus TIPOS Sólo detección: sólo actualizan archivos infectados, no pueden eliminarlos o desinfectarlos. Detección y desinfección: detectan archivos infectados y que pueden desinfectarlos. Detección y aborto de la acción: detectan archivos infectados y detienen las acciones que causa el virus.

54 Anti Virus Invocado por el usuario: se activan instantáneamente con el usuario. Invocado por la actividad del sistema: se activan instantáneamente por la actividad del sistema operativo.

55 Phishing Qué es? Es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, para luego ser usados de forma fraudulenta.

56 Phishing En que consiste? Suplantando la imagen de una empresa o entidad publica, de esta manera hacen creer a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.

57 Phishing

58 Phishing Software anti phishing muestra el dominio real visitado Filtros anti spam, reduce el numero de s phishing Spear Phishing

59 La seguridad informática es tan fuerte como su eslabón mas débil

60 } Gracias! }Preguntas? } Tecnología de la Información } FCE UBA } 2011