SEGURIDAD INFORMATICA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SEGURIDAD INFORMATICA"

Transcripción

1 SEGURIDAD INFORMATICA Leonardo Sena Mayans Julio 2000 Introducción Existen, en los tiempos que corren, dos elementos que incrementan la importancia de brindar una adecuada seguridad a la información corporativa por parte de las empresas: la importancia creciente de la información para las empresas y el aumento de los riesgos a la que la misma se ve expuesta. Las empresas pueden llegar a triunfar o a morir solamente por la información que manejan, lo que ha llevado a que ésta sea considerada un activo cada vez más valioso, aún cuando no podemos llegar a cuantificarlo adecuadamente. Y es esto último lo que impide que los datos se vean reflejados en una línea del balance, ya que cumplen todas las condiciones restantes de un activo según lo establecido por el marco conceptual. Así, debemos establecer controles eficientes de salvaguarda de activos - como lo hacemos para los bienes tangibles - para los datos. Por otro lado, las empresas se ven actuando en ambiente muchos más abiertos que antes; anteriormente los datos estaban administrados por un CPD centralizado, con escasa interacción aún con los usuarios internos. Hoy día es generalizado un procesamiento descentralizado, ambientes cliente-servidor e ingresos al sistema de usuarios que no pertenecen a la empresa (clientes, proveedores, etc.). Esta apertura, así como trae aparejado nuevas oportunidades de negocios, mayor eficiencia a las operaciones y/o menores costos de transacción, genera nuevos y más complejos riesgos que se deben mitigar, o por lo menos considerar. Al decidir qué tipo de procedimientos de seguridad implantar sobre nuestros datos, el valor creciente de la información y las nuevas tecnologías, impactan en la ecuación costo-beneficio, volviéndola más grande y compleja. También nuestra empresa maneja información de terceros, por lo tanto, no sólo debe lograr procesar la misma de una manera segura, para impedir perdida de imagen y/o acciones legales en su contra, sino que la falta de seguridad o la apariencia de falta de seguridad puede actuar como un impedimento para concretar negocios. Según la consultora KPMG, en el año 1999, la seguridad era el principal inhibidor del comercio electrónico en opinión del 78% de los responsables de e-commerce en Europa. Intentaremos a continuación brindar un desarrollo del concepto, implicancias y técnicas de seguridad actuales en el marco previsto de acuerdo a los objetivos de la materia. Concepto de seguridad La seguridad tiene tres objetivos principales: Confidencialidad: prevención de divulgación no autorizada de los datos Integridad: prevención de modificaciones no autorizadas a los datos Disponibilidad: prevención de interrupciones no autorizadas de los recursos informáticos Para alcanzar estos objetivos la empresa debe contar con procedimientos de seguridad de información adecuados, formalmente definidos y ampliamente divulgados. 1

2 Estos procedimientos, como vemos en la siguiente figura, contribuyen a fortalecer los controles y de esa manera reducir de manera significativa el impacto generado por alguna de las amenazas (valiéndose de las vulnerabilidades existentes). Ataques Internos -Fallas -Sabotages Amenazas Soporte -Desastres Infraestructura Información Ataques Externos -Hackers -Clientes Codigos/Aplicaciones -Virus -Caballos de Troja Estadísticamente, la amenaza más importante para nuestros datos, la encontramos dentro de la empresa. Los accesos indebidos o no autorizados a información corporativa son realizados principalmente por empleados de la misma. A esto hay que sumarle los ataques de virus informáticos ocasionados intencionalmente o por ignorancia, por los propios empleados. En sentido contrario transitan, en general las empresas de nuestro país, preocupándose más por los agentes externos que por los internos. No es de olvidar que los ataques realizados por los hackers o crackers son tapa de los diarios, lo que lleva a que la gente se sensibilice más por este tipo de delitos. Lo importante es que la empresa realice un análisis de riesgos formal, para poder identificarlos y establecer su importancia. El resultado de este análisis establecerá si se está más expuesto a ataques internos o externos, o viceversa, o se debe considerar otro tipo de amenazas, y a partir de allí se podrá desarrollar los procedimientos de seguridad con un foco preciso. Los mecanismos básicos de seguridad, sin importar que tecnología es utilizada, son los siguientes:! Autenticación! Autorización! Administración! Auditoría y registración! Mantenimiento de la integridad de los datos Cualquiera de los cinco mecanismos son llevados a cabo por medio del uso de técnicas de seguridad, las cuales sí van a depender de la tecnología utilizada. A medida que las nuevas tecnologías permiten el uso de herramientas (para soporte del negocio) más complejas, es necesario desarrollar nuevas técnicas de seguridad que nos ayuden a controlar nuestros datos. 2

3 Políticas de Seguridad El objetivo de la Políticas de Seguridad de Información, es encima de todo, explicitar el posicionamiento de la organización con relación a la misma, además de servir de base para desarrollar los procedimientos de seguridad. La empresa debe contar con un documento formalmente elaborado sobre el tema, el cual obligatoriamente será divulgado entre todos los funcionarios. No puede ser simplemente una carta de intención, así como no es necesario un alto grado de detalle. Las Políticas deben contener claramente las practicas que serán adoptadas por la compañía. Estas Políticas deben ser revisadas, y de ser necesario actualizadas, periódicamente. Lo más importante para que estas surtan efecto es lograr la concientización, entendimiento y compromiso de todos los involucrados. A manera de ejemplo, sin ser exhaustivo, las Políticas deben comprender:! Definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la empresa! Mostrar el compromiso de la alta gerencia con la misma! Filosofía respecto al acceso a los datos! Percepción y responsabilidades inherentes al tema! Establecer la base para poder diseñar normas y procedimientos referidos a: Organización de la seguridad Clasificación y control de los datos Seguridad de las personas Seguridad física y ambiental Plan de contingencia Prevención y detección de virus Administración de los computadores A partir de las Políticas podremos comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades. En la siguiente figura se muestra una visión macro de cómo debe ser entendida la estructura de políticas, normas y procedimientos de seguridad en las empresas. Estratégico Táctico Que? Políticas Quien? Directrices Operacional Como? Normas y procedimientos 3

4 Clasificación de los datos y del nivel riesgo Como el grado de sensibilidad y criticidad de los datos es muy variable, el grado de seguridad requerido no será el mismo para todos. No se va a asegurar de la misma manera la bases de datos donde se tienen los códigos postales (que probablemente tenga el mínimo nivel de seguridad) que como se hará con las bases de datos donde están los datos filiatorios de los clientes. Es simplemente una decisión costo-beneficio Por lo expuesto, se deben clasificar los datos, lo cual es similar a establecer su valor. Esta clasificación servirá para incorporar niveles de seguridad adecuados para cada dato de la clasificación. La clasificación debe hacerse sobre la base de un avalúo individual del contenido de las bases de datos, y de su importancia para el negocio, considerando las consecuencias de pérdida, divulgación o acceso indebido. Los usuarios, que no se debe olvidar son los dueños de los datos (aunque generalmente se le cede la propiedad al personal de Informática, quien solamente debe tener la administración), son los responsables de realizar esta tarea, dado que son ellos los que conocen los datos y lo que pueden evaluar el impacto en el negocio. El análisis realizado, así como los resultados, deben formalizarse en un documento y debe ser periódicamente revisado. Como sugerencia de clasificación, pueden utilizarse los siguientes rótulos o niveles:! Confidencial (información estratégica o de sigilo absoluto)! Uso restringido (uso para grupos restringidos de las gerencias y/o jefaturas de área)! Uso interno (Funcionarios)! Uso público (clientes, proveedores, otros) La sensibilidad de la información debe ser analizada a partir de las siguientes perspectivas (los objetivos de la seguridad): Grado de confidencialidad, determinado por el daño o perdida sufrido por la empresa ante un acceso no autorizado Grado de sensibilidad respecto a la integridad, determinado por el daño o pérdida sufrido ante la inexactitud de la información Grado de sensibilidad a la disponibilidad, determinado por el daño o pérdida sufrida frente a la no-disponibilidad de los datos cuando estos son requeridos. Complementariamente al nivel de criticidad de los datos, se debe precisar el nivel de riesgo al que están expuestos. Se definen niveles de riesgo de acuerdo a la probabilidad de que se materialice una amenaza y al grado de impacto producido, en caso que lo anterior acontezca. Las amenazas son acciones que ponen en peligro la integridad, disponibilidad y confidencialidad de los datos, como ser errores, accesos indebidos, desastres naturales, etc. El impacto es el resultado para la empresa del acaecimiento de la amenaza, estos resultados pueden ser de pérdidas financieras, pérdida de imagen, costo de oportunidad, etc. Los riesgos dependerán de las plataformas (Windows NT, Unix, etc.) y tipo de equipamiento (PC, AS/400, etc.) en donde se mantienen los datos, y del intercambio de la misma desde o hacia terceros (vía Internet, vía línea discada, etc.). Si la empresa mantiene, por ejemplo, todos sus datos bajo una aplicación para Windows NT en una red de PCs tendrá un nivel de riesgo único para la totalidad de los datos. En cambio si se utilizan dos aplicaciones, una bajo Windows NT y otra bajo Unix, los riesgos serán distintos para unos y otros datos. A su vez, si a la primera situación le sumamos que se reciben órdenes de compra vía Internet, el nivel de riesgo al que se expone toda la información es mayor que el establecido en primera instancia. Estos sólo han sido casos ficticios, a modo de ejemplo. En conclusión, para establecer procedimientos de seguridad adecuados (desde el punto de vista costo-beneficio) para cada grupo de datos, es necesario realizar una clasificación de los datos y un análisis de riesgo, con el fin de determinar prioridades y realizar de esa manera una administración más eficiente de los recursos de la empresa. 4

5 Seguridad física, ambiental y lógica Si bien cuando se habla de proteger información se piensa inmediatamente en controles para el acceso lógico a la misma, debe existir una primera barrera que muchas veces es olvidada o subvalorada. Esta barrera está compuesta por los procedimientos de seguridad física y ambiental. Nos referimos a seguridad física como los procedimientos existentes para controlar el acceso físico al equipamiento informático. Como ejemplo: cámaras de vídeo en la sala del CPD y puertas de acceso al CPD con cerraduras electrónica activadas por tarjetas Nos referimos a seguridad ambiental como los procedimientos existentes para controlar que efectos ambientales perjudiquen el procesamiento, los equipamientos y el personal. Ejemplos: el CPD cuenta con un sistema de supresión de incendios adecuado y el equipamiento central cuenta con protectores de pico de tensión eléctrica. Nos referimos a seguridad lógica como los procedimientos existentes para controlar el acceso lógico no autorizado al información, ya sea que se realice mientras esta se encuentra almacenada o durante la transmisión. Mecanismos básicos de seguridad a) Autenticación Autenticación es la verificación de la identidad del usuario, generalmente cuando ingresamos al sistema o a la red (log-on), o accedemos a una base de datos. Cuando presentamos nuestra cédula de identidad a las autoridades o a cualquier otra persona que lo requiera, nos estamos autenticando. Aquí se utiliza el mismo concepto pero con técnicas distintas, inclusive mucho más exactas que la anterior. Típicamente para ingresar a un sistema se utiliza una contraseña, sin embargo cada vez más se están utilizando otras técnicas que otorgan mayores beneficios desde el punto de vista de la seguridad. Es posible autenticarse, básicamente, de tres maneras:! Por lo que uno sabe (una contraseña)! Por lo que uno tiene (una tarjeta magnética)! Por lo que uno es (las huellas digitales) La utilización de más de un método a la vez aumenta la seguridad de que la autenticación sea correcta. Aún cuando la utilización conjunta es cada vez más utilizada por las empresas, la decisión adoptada debe ir de la mano con el valor de la información a proteger. Diariamente se desarrollan nuevas, más exactas y más baratas técnicas de autenticación, impulsadas por el desarrollo tecnológico en general y por la creciente necesidad de seguridad de la información. En primera instancia, dado que es la técnica más utilizada y no siempre de manera adecuada, nos referiremos a la autenticación mediante contraseñas. La fortaleza del método está determinada por las características de la contraseña. Cuanto más grande y difícil de adivinar esta sea, más difícil será de burlar el mecanismo. A su vez la contraseña debe ser confidencial, y esto es muy importante. No puede ser conocida por nadie más que el usuario. Muchas veces sucede que los usuarios se prestan las contraseñas o se apuntan las mismas en un papelito pegado en el escritorio fácilmente legible por cualquier otro empleado, comprometiendo a la empresa y a nosotros mismos, dado que toda acción que se realice con esa contraseña es responsabilidad nuestra. Para lograr que la contraseña sea difícil de adivinar, esta debe tender lo más posible a un conjunto de caracteres (con minúsculas, mayúsculas y números) inteligible. Lo que sucede es que los usuarios difícilmente recuerdan contraseñas tan elaboradas y utilizan palabras previsibles (el nombre, el apellido, el nombre de usuario, el mes en curso, el nombre de la esposa, el nombre del cuadro de fútbol), que facilitan la tarea de quién desea ingresar al sistema de forma no autorizada. Como medida complementaria se debe obligar al cambio de contraseña de manera periódica (30 45 días), impidiendo el uso de contraseñas utilizadas en el pasado. Veamos ahora dos de las nuevas técnicas más utilizadas hoy día. 5

6 Security tokens (o ID card) La autenticación es realizada a través de una contraseña que cuenta con dos componentes, uno fijo (un PIN de usuarios) y otro variable. El componente variable es generado por el security token (que no es otra cosa que una pequeña tarjeta con un display), el cual genera una nueva contraseña cada 60 segundos. Estas contraseñas son generadas en sincronismo con el servidor (de otra manera no es posible verificar la contraseña), y por medio de funciones matemáticas alimentadas por la hora. En resumen, a cada usuario se le asigna un PIN y se le entrega un security token. Luego, cada vez que intente ingresar al sistema deberá digitar su PIN y la contraseña generada por su token. El dinamismo en el cambio de contraseñas, así como el largo de las mismas (al ser otorgadas por el token evita que el usuario deba recordar contraseñas grandes, lo cual generalmente no puede hacer), robustecen la seguridad de este mecanismo. Reconocimiento biométrico Las técnicas biométricas presentan procesos de verificación de la identidad basados en características físicas (cara, huellas digitales) o de comportamiento (registro vocal, firma a mano alzada). Primero estas características (como ser el registro vocal) son capturadas e ingresadas al sistema, asociadas a cada usuario respectivo. Luego, en el momento de la verificación, la autenticación se produce por la comparación del patrón almacenado y el registro realizado por el usuario que requiere el acceso. Esta técnica ha evolucionado mucho, llegando a ser muy exactas, y a precios razonables (por ejemplo un lector de huellas digitales oscila en el mercado entre los U$S150 y U$S200). La siguiente tabla detalla las técnicas utilizadas y sus respectivas ventajas y desventajas. TÉCNICA VENTAJAS DESVENTAJAS Reconocimiento de cara Fácil, rápido y barato La iluminación puede alterar la autenticación Lectura de huella digital Barato y muy seguro Posibilidad de burla por medio de réplicas, cortes o lastimaduras pueden alterar la autenticación Lectura de iris/retina Muy seguro Intrusivo (molesto para el usuario) Lectura de la palma de la mano Poca necesidad de memoria de almacenamiento de los patrones Lento y no muy seguro Reconocimiento de la firma Barato Puede ser alterado por el estado emocional de la persona Reconocimiento de la voz Barato, útil para accesos remotos Lento, puede ser alterado por el estado emocional de la persona, fácilmente reproducible b) Autorización Autorización es el proceso de determinar qué, cómo y cuándo, un usuario autenticado puede utilizar los recursos de la empresa. El mecanismo o el grado de autorización puede variar dependiendo de que sea lo que se este protegiendo. Cuando vimos clasificación de los datos establecimos distintos niveles para los mismos, así puede determinarse que para acceder a los datos de cada nivel debe contarse con autorización de cierto nivel jerárquico. 6

7 Las autorizaciones pueden hacerse efectivas por medio de una firma en un formulario o por medio del ingreso de una contraseña específica en el sistema, sí es importante que quede registrada para ser controlada posteriormente. Al nivel de datos, las autorizaciones son instrumentadas de manera de asegurar la confidencialidad e integridad, así sea otorgando o denegando el acceso a la posibilidad de leer, modificar, crear o borrar los mismos. La autorización debe ser otorgada siempre de acuerdo a la necesidad de saber, o sea el acceso a cierto recurso se le otorgará al usuario si es indispensable para la realización de su trabajo, y si no se le negará. Es posible otorgar autorizaciones transitorias o modificar las anteriormente otorgadas a medida que las necesidades de ese usuario varíen. c) Administración La administración incluye los procesos de definir, mantener y eliminar las autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema. Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema. Esta administración de la seguridad es un esfuerzo constante porque los negocios se encuentran en permanente cambio dentro de la empresa, lo que repercute en sus sistemas y usuarios. Cada uno de los sistemas operativos de redes conocidos (Windows NT, Novell) cuenta con un módulo de administración de seguridad, pero igualmente existe software específico para realizar esta tarea. d) Auditoría y registración Llamamos auditoría al proceso de recolectar información y analizarla, que permite a los administradores u otros especialistas verificar que las técnicas de autenticación y autorización empleadas se realizan según lo establecido y se cumplen los objetivos fijados por la empresa. Registrar es el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda asentado en una base de eventos que permite su posterior análisis. Monitorear la información registrada o auditar, se puede realizar mediante medios manuales o automáticos, y con una periodicidad acorde a la criticidad de la información protegida y al nivel de riesgo. Es evidente que el hecho de registrar los eventos, por sí solo, no brinda ninguna utilidad. Los registros pueden ser usados por más de una persona, para realizar chequeos de rutina o para constatar hechos individuales, entre los que podemos citar administradores, auditores internos y externos, consultores y gobierno. e) Mantenimiento de la Integridad Mantener la información íntegra refiere a los procedimientos establecidos para evitar o controlar que los archivos permanezcan sin sufrir cambios no autorizados y que la información enviada desde un punto llegue a destino inalterada. El mantenimiento de la integridad también involucra la prevención de cambios accidentales, lo cual generalmente se maneja por medio de códigos de manejo de errores. Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los datos, podemos citar: uso de antivirus, encriptación y funciones hash. La primera ya es muy conocida, por lo tanto no ampliaremos el concepto. Sí lo haremos con las otras dos técnicas, lo cual una vez entendidas, nos permitirá explicar el concepto de firma digital. 7

8 Encriptación La criptografía es una ciencia que brinda distintas técnicas capaces de transformar datos legibles en datos no legibles, y viceversa, por medio de funciones matemáticas (algoritmos). El objetivo de convertir datos legibles en inteligibles, es prevenir ante la posibilidad que una persona no autorizada acceda a los mismo, no sea capaz de entender su significado. Estos algoritmos transforman texto plano en un código equivalente (llamado texto cifrado), para transmisiones o almacenamiento de datos, utilizando una clave. Luego, este texto cifrado puede ser transformado a texto plano otra vez aplicando el mismo algoritmo y una clave. Existen dos tipos de encriptación: los simétricos (utilizan la misma clave para encriptar y para desencriptar) y los asimétricos (los cuales utilizan dos claves distintas). La robustez (capacidad de no ser burlado) del método se establece por el algoritmo utilizado y por el largo de la clave. En general, se dice que cuanto más grande la clave más seguro será. Esto es un error porque se depende del algoritmo utilizado, existen algoritmo que son más seguros cuanto más chica es la clave. Por más que se utilizan funciones aritmética muy complejas, el avance de la tecnología ha permitido que sea más fácil poder romper los códigos cifrados (o sea interpretar el mensaje original). Para lograr este fin, los hackers utilizan dos técnicas: ataque por diccionario o por fuerza bruta. En el primero se utiliza un método deductivo, tratando de encontrar patrones sobre la base de palabras en cualquier idioma, mientras que en el segundo simplemente se prueban distintas combinaciones de caracteres hasta encontrar lo deseado. Para terminar hablaremos de los algoritmos de clave pública (sistema de criptografía asimétrico). El mismo se basa en dos claves: una pública y una privada, la pública es conocida y se utiliza para encriptar los mensajes y la privada es solamente conocida por el usuario que la utiliza para desencriptarlo. Este mecanismo evita la administración de un gran número de claves secretas necesaria para los algoritmos simétricos, pero requiere un proceso para asegurar que las claves públicas son auténticas y pertenecen al usuario correspondiente. Así, nacen las compañías certificadoras, las cuales se encargan de certificar que una clave pertenece a tal o cual usuario y de distribuir las mismas. Funciones hash Una función hash es una función matemática compleja unidireccional que aplicada a un conjunto de caracteres de cualquier longitud obtiene un pequeño resultado, de largo fijo, y cualquier cambio al conjunto de caracteres origen, producirá un cambio en el resultado. Se estima que para lograr otro conjunto de caracteres distinto del anterior, que genere el mismo resultado, se requiere más esfuerzo que el que es capaz cualquier persona o computadora. Mediante estas funciones puedo controlar que mi información no haya sido alterada, por error o intencionalmente, durante una transmisión o durante el período que permaneció almacenada. Simplemente debo calcular el resultado de la función hash en el momento cero, y compararlo con el resultante de aplicar la misma función en otro momento, para asegurarme que la información se mantiene íntegra. 8

9 Firma Digital Hemos dejado para el final el tema de firmas digitales a propósito, debido a varios motivos. Entre ellos están: - el hecho de entender los conceptos anteriormente vertido facilitará la comprensión de este concepto. - está técnica es utilizada tanto para autenticación como para el mantenimiento de la integridad y la auditoría (sin olvidar que puede avalar la asignación de determinada autorización) - el auge de la técnica a nivel mundial y local (en la actual ley de urgencia se acaba de incorporar una ley al respecto). A continuación se explica cómo funciona la firma digital. Paso 1: Bob quiere mandar un mensaje firmado a Alice. Lo primero que debe hacer es escribir el mensaje, y luego procede a firmarlo. El proceso de firmar incluye dos pasos: - se calcula el resultado de aplicar una función hash al mensaje, lo cual se llamará digest - el digest se encripta con la clave privada de Bob, y se adjunta al mensaje original. El resultado del proceso es el mensaje más la firma. Paso 2 El mensaje más la firma se encriptan para ser enviados. La encriptación puede ser realizado de dos maneras: - con una clave de una única vez, si se usa un algoritmo simétrico (esta clave debe ser comunicada al receptor por otra vía para poder desencriptarlo) - con la clave pública de destinatario, si se utiliza un algoritmo asimétrico. Al resultado de esta operación simplemente resta enviarlo al destinatario. 9

10 Paso 3 Alice recibe el mensaje de Bob Dependiendo de cómo se encriptó procederá a: - desencriptarlo con la clave de única vez - desencriptarlo con la clave privada de Alice. El resultado obtenido es el mensaje y la firma digital. 10

11 Paso 4 Resta verificar que realmente el mensaje fue firmado por Bob. Para esto debemos: - desencriptar la firma con la clave pública de Bob, obteniendo el digest - calcularle al mensaje recibido (mediante la misma función hash que utilizó Bob) el digest Una vez terminadas las acciones anteriores, simplemente compararemos los resultado obtenidos y de esa manera, en caso de ser iguales, verificaremos la identidad del emisor. Para terminar y a manera de resumen diremos que las firmas digitales desarrolladas de la manera que hemos visto proveen la misma seguridad que las firmas sobre papel tradicionales: Autenticación: la garantía de que un mensaje proviene de la persona que dice haberlo enviado. Integridad: la prueba de que los contenidos de un mensaje no han sido alterados, deliberada o accidentalmente, durante la transmisión. No-Repudio: la certeza de saber que el remitente del mensaje no puede más tarde negar haberlo enviado. Confidencialidad: la evidencia de que el contenido del mensaje no ha sido revelado a terceras partes. 11

SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA Leonardo Sena Mayans Julio 2000 Introducción Existen, en los tiempos que corren, dos elementos que incrementan la importancia de brindar una adecuada seguridad a la información corporativa

Más detalles

Seguridad de la información

Seguridad de la información Seguridad de la información Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS Contenido 1 SEGURIDAD EN LOS CENTROS DE PROCESOS DE DATOS 2 SEGURIDAD FISICA 3 MECANISMOS DE SEGURIDAD BASICOS QUE DEBE CONTEMPLAR UN DATACENTER 4 COMBINACION DE METODOS PARA AUMENTAR

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014 Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Pág. 1 Esquema de una organización o de mi dispositivo personal Pág. 2 Tecnologías de (TI) y de las Comunicaciones (TIC) Cuál es

Más detalles

Certificado Digital. www.certificadodigital.com.ar. Guía del Usuario. Versión 1.0

Certificado Digital. www.certificadodigital.com.ar. Guía del Usuario. Versión 1.0 Certificado Digital www.certificadodigital.com.ar Guía del Usuario Versión 1.0 Copyright 2000 Certificado Digital S.A. Buenos Aires - República Argentina Índice temático INTRODUCCIÓN... 2 A QUIÉNES ESTÁ

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA matedi 2014. TITULO 1 ÍNDICE 1. ANTECEDENTES. 2.CONSULTORÍA. 3. VALORACIÓN. 4. RESUMEN. matedi 2015. 2 1. ANTECEDENTES. Las empresas llevan a cabo una serie

Más detalles

Banco de la República Bogotá D. C., Colombia

Banco de la República Bogotá D. C., Colombia Banco de la República Bogotá D. C., Colombia Departamento de Seguridad Informática SUBGERENCIA DE INFORMÁTICA MECANISMOS DE SEGURIDAD DE LOS SERVICIOS INFORMÁTICOS USI-ASI-1 Junio de 2007 Versión 3 CONTENIDO

Más detalles

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia Encriptación de Datos Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y

Más detalles

ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO ESCUELA POLITECNICA DEL EJERCITO Carrera de Ingeniería a de Sistemas e Informática Desarrollo de una aplicación Sign On en Smart Cards Vinicio Ramirez M. SEGURIDAD INFORMÁTICA La Seguridad Informática

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

Boletín de Consultoría Gerencial

Boletín de Consultoría Gerencial www.pwc.com/ve Inicio El Password: Factor crítico de éxito para proteger la información contra los Hackers Boletín Digital No. 15-2011 Espiñeira, Sheldon y Asociados Boletín Consultoría Gerencial - No.

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

Los virus informáticos

Los virus informáticos SEGURIDAD DE LA INFORMACIÓN Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a amenazas de los siguientes tipos: - Sin intervención humana Amenazas

Más detalles

Mejores Prácticas de Autenticación:

Mejores Prácticas de Autenticación: Mejores Prácticas de Autenticación: Coloque el control donde pertenece WHITEPAPER Los beneficios de un Ambiente de Autenticación Totalmente Confiable: Permite que los clientes generen su propia información

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC Seguridad en Redes Módulo 1 Control de acceso Carlos A. Rojas Kramer UCC Agenda Identificación y autenticación. Autorización, derechos y permisos. Modelos de control de acceso. Técnicas y dispositivos

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups. 1 Colegio Bosque Del Plata Tecnología de la Información y las Comunicaciones UNIDAD 3 Uso y control de los sistemas de información E-mail: garcia.fernando.j@gmail.com Profesor: Fernando J. Garcia Ingeniero

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO ALCANCE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO Las presentes políticas de seguridad aplican o están destinadas a todos los servidores públicos, contratistas

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

Autenticación de usuarios

Autenticación de usuarios ASI - Autenticación de usuarios,1 Autenticación de usuarios Curso 2013/14 Grado Asignatura Gestión Informática Empresarial Auditoría y Seguridad Informática Profesores Alfredo Cuesta Infante alfredo.cuesta@ajz.ucm.es

Más detalles

Single-Sign-On Índice de contenido

Single-Sign-On Índice de contenido Single-Sign-On Índice de contenido Introducción...2 Que es Single Sign-On...2 Descripción del esquema y componentes...2 Kerberos...3 LDAP...5 Consideraciones de Seguridad...6 Alcances de la solución implementada...7

Más detalles

Seguridad en Sistemas

Seguridad en Sistemas Seguridad en Sistemas Introducción En nuestra presentación el objetivo principal es entender que es seguridad y si existe la seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no

Más detalles

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO PSHCM_01 2 0 1 3 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva del Hospital Clínico de Magallanes y su uso debe

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

Sistema de comunicación móvil con cifrado de seguridad. Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES

Sistema de comunicación móvil con cifrado de seguridad. Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES Qué es Hermes? Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES Para qué sirve Hermes? Hermes nos permite comunicarnos con nuestros contactos con la garantía de que nuestra privacidad no está

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática 1. SEGURIDAD INFORMÁTICA 1.1. Seguridad informática Seguridad física. Se entiende como el conjunto de medidas y protocolos para controlar el acceso físico a un elemento. Aplicado a la seguridad informática

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Seguridad Web Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Lista de contenidos Seguridad de los datos Autenticación Integridad Malware Spam Denegación de servicio

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

taller de seguridad informática para no expertos

taller de seguridad informática para no expertos taller de seguridad informática para no expertos periodistas que buscan proteger sus fuentes activistas cubriendo investigaciones estudiantes sin conocimientos de tecnología usuarios con información sensible

Más detalles

Protección y Seguridad

Protección y Seguridad Protección y Seguridad Transparencias basadas en los libros de referencia: Sistemas operativos. Una visión aplicada. J. Carretero, F.García, P. de Miguel, F. Pérez. McGraw Hill 2001c Sistemas Operativos

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

TEMA 6 AUDITORÍA DE LA SEGURIDAD LÓGICA

TEMA 6 AUDITORÍA DE LA SEGURIDAD LÓGICA TEMA 6 AUDITORÍA DE LA SEGURIDAD LÓGICA Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre

Más detalles

Criptografía. Por. Daniel Vazart P.

Criptografía. Por. Daniel Vazart P. Criptografía Por. Daniel Vazart P. Que es? La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo

Más detalles

Glosario de términos

Glosario de términos Glosario de términos Acreditación Proceso por el cual se verifica, ante la Autoridad Administrativa Competente, que la planta de certificación PKI cumple con los estándares internacionales contemplados

Más detalles

Estos servicios han de ser prestados satisfaciendo las siguientes propiedades:

Estos servicios han de ser prestados satisfaciendo las siguientes propiedades: 1. 1. Introducción. En los últimos tiempos el fenómeno Internet está provocando cambios tanto tecnológicos como culturales que están afectando a todos lo ámbitos de la sociedad, con una fuerte repercusión

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN.

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. Objetivo de Control: Proveer dirección y soporte a la administración para la seguridad de información. 1.1 Protección y respaldo de la información 1.1.1

Más detalles

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS Presentado por: ANDRÉS RINCÓN MORENO 1700412318 JORGE ARMANDO MEDINA MORALES 1700321660 Profesor: Carlos Hernán Gómez. Asignatura:

Más detalles

Transferencia segura de Datos en Línea con SSL

Transferencia segura de Datos en Línea con SSL Transferencia segura de Datos en Línea con SSL Guía para comprender los certificados SSL, cómo funcionan y su aplicación 1. Aspectos generales 2. Qué es SSL? 3. Cómo saber si un sitio web es seguro 4.

Más detalles

Tema 4: Protección y Seguridad

Tema 4: Protección y Seguridad Tema 4: Protección y Seguridad 1. Introducción 2. Protección 3. Seguridad Dpto. Languajes y Sistemas Informáticos. Universidad de Granada 1. Introducción Protección: es estrictamente un problema interno

Más detalles

Cifrado de datos transparente (TDE)

Cifrado de datos transparente (TDE) Cifrado de datos transparente (TDE) Dirigido a: Administradores de Bases de Datos Área: Bases de Datos Autor: Pablo F. Dueñas Servicios Profesionales Danysoft Introducción Una de las principales preocupaciones

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Ing. Cynthia Zúñiga Ramos

Ing. Cynthia Zúñiga Ramos Ing. Cynthia Zúñiga Ramos Criptografía Criptografía Datos Datos Encriptación ase4bhl Desencriptación Datos cifrados Confidencialidad en las comunicaciones Algoritmos Hash de una dirección Algoritmos

Más detalles

Política de Privacidad

Política de Privacidad Política de Privacidad POLÍTICA DE PRIVACIDAD DE SERVICIOS DE PROGRMACION DE CHIHUAHUA, S.C. 1.INTRODUCCIÓN 1. Nuestra política de privacidad y nuestros términos de uso (denominados de ahora en adelante

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

No.1 Business Communication

No.1 Business Communication No.1 Business Communication Solución encriptada para comunicación en móvil www.no1bc.com Reto móvil Cuando usted maneja información delicada e importante, su comunicación telefónica puede ser objeto de

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

Protección de Datos. Ing. Karina Astudillo B. Gerente de IT

Protección de Datos. Ing. Karina Astudillo B. Gerente de IT Protección de Datos Ing. Karina Astudillo B. Gerente de IT 1 Agenda El porqué de la importancia de implementar protección de datos Panorama de seguridad informática mundial Casos relevantes en Ecuador

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles

Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA

Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA PROSCRITOS ONLINE: EL DELITO INFORMATICO Uso de la tecnología informática en el área del combate al delito: Bases de datos cruzar y almacenar pistas Reconocimiento

Más detalles

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS Universidad de Caldas Facultad de Ingeniería Programa Ingeniería de Sistemas y Computación Blanca Rubiela Duque Ochoa Código

Más detalles

e-commerce Objetivo e-commerce

e-commerce Objetivo e-commerce Presenta: UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE CONTADURIA Y ADMINISTRACIÓN Sitios web comerciales Tema II Comercio Electrónico 2.4 Elementos del e-commerce y seguridad. ING. y M.A. RENÉ

Más detalles

CÓDIGO: G52332 CURSO: SEGURIDAD INFORMATICA NIVEL MEDIO-AVANZADO Modalidad: Distancia Duración: 150 h

CÓDIGO: G52332 CURSO: SEGURIDAD INFORMATICA NIVEL MEDIO-AVANZADO Modalidad: Distancia Duración: 150 h PROGRAMA FORMATIVO CÓDIGO: G52332 CURSO: SEGURIDAD INFORMATICA NIVEL MEDIO-AVANZADO Modalidad: Distancia Duración: 150 h Objetivos: Los contenidos incluidos en este curso abarcan los conceptos básicos

Más detalles

MUNICIPALIDAD DE SANTA BARBARA OFICINA DE INFORMÁTICA MANUAL DE NORMAS INFORMATICAS MUNICIPALES.

MUNICIPALIDAD DE SANTA BARBARA OFICINA DE INFORMÁTICA MANUAL DE NORMAS INFORMATICAS MUNICIPALES. MUNICIPALIDAD DE SANTA BARBARA OFICINA DE INFORMÁTICA MANUAL DE NORMAS INFORMATICAS MUNICIPALES. 1 1. INTRODUCCION... 3 2. NORMAS DE USO DE LOS COMPUTADORES... 3 2.1. SOLICITUDES DE ADQUISICIÓN DE EQUIPOS...

Más detalles

Semana 14: Encriptación. Cifrado asimétrico

Semana 14: Encriptación. Cifrado asimétrico Semana 14: Encriptación Cifrado asimétrico Aprendizajes esperados Contenidos: Características y principios del cifrado asimétrico Algoritmos de cifrado asimétrico Funciones de hash Encriptación Asimétrica

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

a. Derechos de Autor.

a. Derechos de Autor. Controles aplicables a la administración, a la organización y al procesamiento de los datos. Por Omar Javier Solano Rodríguez Profesor Univalle. Apartes del artículo: la auditoría como punto de apoyo al

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

RECOMENDACIONES PARA LAS ÁREAS DE INFORMÁTICA PARA UTILIZAR LA FIRMA ELECTRÓNICA DE CORREOS EN LOS SERVICIOS UNIVERSITARIOS:

RECOMENDACIONES PARA LAS ÁREAS DE INFORMÁTICA PARA UTILIZAR LA FIRMA ELECTRÓNICA DE CORREOS EN LOS SERVICIOS UNIVERSITARIOS: RECOMENDACIONES PARA LAS ÁREAS DE INFORMÁTICA PARA UTILIZAR LA FIRMA ELECTRÓNICA DE CORREOS EN LOS SERVICIOS UNIVERSITARIOS: Introducción: En el marco de una nueva propuesta para la Gestión Presupuestal

Más detalles

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías UD 8. Auditorías Requisitos de seguridade do sistema e dos datos. Obxectivos da auditoría. Ámbito da auditoría. Aspectos auditables. Mecanismos de auditoría. Alarmas e accións correctivas. Información

Más detalles

Correo electrónico y sus componentes

Correo electrónico y sus componentes Correo electrónico y sus componentes Eimer Polo Betancur En este documento encontraremos la historia definición y uso de un correo electrónico con el fin de enfatizar sobre este elemento y el apoyo que

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Mg. Lía Molinari Lic. Paula Venosa Lic. Nicolás Macia

Mg. Lía Molinari Lic. Paula Venosa Lic. Nicolás Macia Mg. Lía Molinari Lic. Paula Venosa Lic. Nicolás Macia Introducción Usan Internet? Alguna vez sacaron pasajes por Internet? Qué hacen en Internet? Navegan? Usan el correo electrónico? Saben que pueden pagar

Más detalles

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Comprobar la integridad de un fichero consiste en averiguar si algún

Más detalles