Auditoría y Seguridad Informática

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Auditoría y Seguridad Informática"

María Soledad Acosta Navarrete
hace 8 años
Vistas:

1 Auditoría y Seguridad Informática Tecnología de la información 2017 Lic. María Soledad Ruiz Catelli

2 Un dato Un dato es una unidad primaria de información Un dato para transformarse en información necesita un contexto, una utilidad o un propósito que ayuden a la toma de decisiones

3 Información

4 Características que la hacen valiosa Íntegra Completa, exacta y válida Confidencial Sólo accesible para los individuos autorizados Oportuna Disponible para su uso inmediato

5 La información como activo Clientes Competitividad Desarrollo Soporte de decisiones Reputación Poder Base física Base lógica

6 Seguridad de la información

7 Definición Métodos y herramientas para proteger de los riesgos a las características que transforman datos en información [email protected]

8 Objetivos de la seguridad Minimizar la ocurrencia de riesgos Evitar Mitigar Disuadir Reducir el perjuicio Detectar Recuperar Corregir Transferir

9 Riesgo Identificación Medición inherente Aplicación de pautas Medición residual

10 Identificar riesgos Riesgos

11 Amenazas y vulnerabilidades Integridad física Integridad lógica Amenazas naturales Inundación Terremoto Amenazas humanas Sabotajes Vulnerabilidades Mantenimiento insuficiente Amenazas Virus Ingeniería social Vulnerabilidades Descuidos Capacitación insuficiente Desarrollos pobres [email protected]

12 Medir riesgos Riesgos

13 Valor del riesgo: Probabilidad x Impacto Probabilidad Impacto Es la posibilidad de que el riesgo pueda ocurrir Es el efecto sobre todos los activos afectados, los directamente impactados y los relacionados. [email protected]

14 Medición inherente Identificación y evaluación de controles Medición residual Evaluación de riesgos Medición inherente Controles Medición residual

15 Impacto Probabilidad Valor riesgo Preventivo Detectivo Manual Sistémico Impacto Probabilidad Impacto Probabilidad Valor residual Riesgo Inherente Controles Tipo de control Reduce Riesgo Residual Riesgo Destrucción de la información A M A Copia de seguridad diaria de las operaciones Resguardo adecuado de las copias de seguridad X X X X X X M M M Robo de información A M A Uso de contraseñas X X X A B M Incendio A B M Detectores de humo X X X M B B

16 Control de riesgos

17 Seguridad física

18 Riesgo de incendio Materiales y muebles ignífugos. Prohibición de fumar Piso y techo impermeables Cableado bajo piso de placas extraíbles Sensores de temperatura y de humo. Extinción Matafuegos y rociadores de agua (Sprinklers) Inundación con gas especial (Bióxido de carbono, Halon 1301, etc.)

19 Riesgo de inundaciones Informes climatológicos Techo impermeable Acondicionar las puertas Corte automático de electricidad

20 Prevención de robo, intrusión o asalto Circuito cerrado de televisión (CCTV). Personal de seguridad. Sensor de movimiento. Barreras infrarrojas. Edificios inteligentes. Cableado de seguridad

21 Pautas de seguridad lógica Todo lo que no está permitido debe estar prohibido

22 Minimización de vulnerabilidades Control de acceso Encriptación Copias de seguridad

23 Definición Barreras y procedimientos que resguardan el acceso a los datos Sólo se permita acceder a personas autorizadas Prevenir el acceso indebido a individuos no autorizados Acceso a sistemas sólo para determinadas tareas

24 Control de acceso

25 Controles de acceso Perfiles de usuario Ver Hacer Herramientas Identificar Autentificar Autorizar

26 Algo que soy Autentificación Eficaz Algo que sé Algo que tengo

27 Algo que soy: Sistemas biométricos Emisión de Calor Huella Digital Verificación de Voz Verificación de Patrones Oculares Verificación Automática de Firmas (VAF)

28 Algo que tengo Tarjetas magnéticas Una llave Identificación personal Token

29 Algo que sé: Contraseñas Recomendaciones: Cambiarlas frecuentemente. No anotarlas. No compartirlas. Contraseñas fuertes: Escribir fonéticamente: soledad = eseoeledeade Cuanto más extensas, más eficientes. No utilizar caracteres secuenciales: 1234, qwerty, etc. Utilizar mayúsculas, minúsculas, caracteres especiales y números. Frase escondida: A las 6 am tomo café con leche L33t

30 Encriptación (Cifrado)

31 Encriptación Definición Componentes Proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Clave: valor independiente del texto o mensaje a cifrar. Algoritmo Pasos seguidos para convertir el texto virgen en texto cifrado. Va a producir una salida diferente para el mismo texto de entrada dependiendo de la clave utilizada. [email protected]

32 Modelo de clave privada Yo Hola mundo! Encriptación Otro 413dfn9 u&&// Vos Hola mundo! Desencriptación 413dfn9 u&&// Canal inseguro 413dfn9 u&&//

33 Modelo de clave pública: Mensaje seguro Yo Hola mundo! Encriptación Otro 413dfn9 u&&// Banco Hola mundo! Desencriptación 413dfn9 u&&// Canal inseguro 413dfn9 u&&//

34 Modelo de clave pública: Firma digital Banco Hola mundo! Encriptación 413dfn9 u&&// Otro Hola mundo! Desencriptación Canal inseguro Yo Hola mundo! Desencriptación 413dfn9 u&&//

35 Clave digital en Argentina

36 Copia de seguridad

37 Back up: Respaldo / Copia de seguridad Minimiza el perjuicio del riesgo de pérdida o transformación de información Permite restaurar la información y su sistema si ha sido eliminada o dañada imprevistamente. Sincronización vs Back up

38 Back up: Copia de Seguridad Herramientas: Dispositivos externos portátiles Servidores Cloud Frecuencia no más de una semana Encriptar Resguardar en un lugar seguro

39 Protección contra amenazas

40 Seguridad lógica: Amenazas Micro targeting Ingeniería social Confianza Autoridad Curiosidad Vulnerabilidades de día cero Anulación de barreras de defensa Accesos no autorizados

41 Consecuencias Espionaje de información Robo de identidad Invasión a la privacidad Corrupción de la información Realizar delitos a terceros con recursos de la empresa Transferencias de fondos no deseadas Interrupción de las operaciones

42 EL usuario Amenazas

43 El usuario El administrador no es un paranoico Mi máquina también es importante El hacker no es un genio, no requiere grandes habilidades Todos los programas tienen vulnerabilidades Soy el eslabón más débil

44 Protección contra usuarios El 70% de robos, sabotajes y accidentes informáticos están vinculados al personal de la empresa. Recomendaciones: Control de referencias Need to know Dual control Rotación de funciones Separación de funciones Cancelación inmediata de cuenta

45 Firewall Vulnerabilidades

46 Definición Herramientas para bloquear los accesos no autorizados y permitir los autorizados Examina cada mensaje entrante y saliente Bloquea aquellos que no cumplen los criterios de seguridad especificados por su configuración.

47 Firewall: Beneficios y limitaciones Beneficios Limitaciones Economía: Baja ancho de banda "consumido" por el trafico de la red. Seguridad: Monitorear la seguridad de la red y generar alarmas de intentos de ataque. Su eficacia depende de su configuración Cuanto mayor sea el tráfico permitido menor será la resistencia. No protege de virus. No protege la red interna. No protege de amenazas humanas. [email protected]

48 Virus Amenazas

49 Definición Tipos Características Malware Ransomware Spyware Worms Contagio Instalación por el usuario Replicación automática en la red Activación Invocado por el usuario Invocado por el sistema

50 Antivirus Sólo detección sólo actualizan archivos infectados, no pueden eliminarlos o desinfectarlos. Detección y desinfección detectan archivos infectados y que pueden desinfectarlos. Detección y aborto de la acción detectan archivos infectados y detienen las acciones que causa el virus.

Documentos relacionados

Objetivos. Saber que es la Seguridad Informática. Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática

Objetivos. Saber que es la Seguridad Informática. Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática Objetivos Saber que es la Seguridad Informática Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática Conocer método para la Gestión de Riesgo Estado de la Seguridad Informática