Seguridad. Informática

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad. Informática"

José Miguel Luna Aguirre
hace 6 años
Vistas:

1 Seguridad Informática

2 Algunas definiciones

3 SEGURIDAD Cualidad de seguro Seguro: Libre y exento de todo peligro, daño o riesgo PROTEGIDO

4 Información Conocimiento Un Unactivo activoque, que,al aligual igualque quecualquier cualquierotro otro activo activoimportante importantedel delnegocio, negocio,es esesencial esencial yypor porlo lotanto tantoestá estásujeto sujetoaaser serprotegido protegido ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management

5 Seguridad Informática Protección de información (datos) Sin importar el formato o el almacenamiento

Seguridad Informática Seguridad Seguridadde delalainformación informaciónes eslalaprotección protecciónde delala información informaciónde

negocio,minimizar minimizar los losriesgos riesgosyymaximizar maximizarelelretorno retornode delalainversión inversiónyylas las oportunidades

6 Seguridad Informática Seguridad Seguridadde delalainformación informaciónes eslalaprotección protecciónde delala información informaciónde deuna unaamplia ampliagama gamade deamenazas, amenazas,con conelel fin finde deasegurar asegurarlalacontinuidad continuidaddel delnegocio, negocio,minimizar minimizar los losriesgos riesgosyymaximizar maximizarelelretorno retornode delalainversión inversiónyylas las oportunidades oportunidadesde denegocio. negocio. ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management

7 Seguridad computacional Protección de información en sistemas computacionales Criptografía Programas Sistemas operativos Redes Bases de datos Procedimientos y políticas

8 Metas de la seguridad

9 Confidencialidad Solo personas autorizadas tienen acceso a los recursos de un sistema Acceso incluye lectura, impresión, conocimiento de existencis, etc. Partes pequeñas de información también son importantes

10 Integridad La información puede ser modificada sólo de manera autorizada Depende mucho de las políticas del sistema Información Precisa, exacta, no modificada o modificada sólo por gentes o procesos autorizados y de manera aceptable

11 Disponibilidad Los servicios y los datos son accesibles a los usuarios autorizados cuando lo necesitan Tiempo adecuado

12 Metas de la seguridad Confidencialidad SEGURO Disponibilidad Integridad

13 Componentes de la Seguridad Alfredo Aranguren, CISSP, CISA, CISM

14 Tendencias que afectan la seguridad Asuntos legales y privacidad Demandas y requisitos federales Acceso inalámbrico Muchos usuarios, muchos dispositivos La necesidad de velocidad Soluciones de software no escalan bien Escasez de personal de TI Soluciones externas Cisco

15 Vulnerabilidad, amenaza, control Una amenaza es bloqueada controlando una vulnerabilidad Ataque: Explotación de una vulnerabilidad

16 Vulnerabilidades Hardware Software Medios de almacenamiento Datos Procedimientos y políticas Redes Servidores Personas

17 Riesgo ISO Risk Assesment Process Evaluar activos Identificar, caracterizar y evaluar amenzas Evaluar vulnerabilidades de activos críticos Determinar el riesgo Consecuencias posibles de ciertos ataques sobre ciertos activos (Impacto) Identificar maneras de reducir el riesgo Priorizar medidas para reducir el riesgo

18 Frecuencia Administración del riesgo REDUCIRLO EVITARLO ASUMIRLO TRANSFERIRLO Severidad

19 Administración del Riesgo Riesgo Riesgo Impacto Impacto negocio negocio Am en aza s Controles Controles Activos Activos negocio negocio Vulnerabilidades Vulnerabilidades internas y externas internas y externas

20 Probabilidad de ataque Impacto al negocio Nivel De Riesgo Cálculo del riesgo ROI Productividad Conexión Riesgo Riesgo==Probabilidad Probabilidadde deataque ataque**impacto Impacto The purpose of risk management is to change the future, not to explain the past The book of risk, Dan Borge

21 Proceso (gobierno)

22 Cubo de McCumber

23 Proceso (gobierno) Objetivo del sistema Políticas (normas, directrices) Procedimientos Y prácticas Concientización Sistema Seguro Auditoría

24 Tipos de vulnerabilidades Físicas Falta de protección (candados, alarmas, TV, etc.) Ambiente no adecuado (clima) Lógicas Sistemas, errores (bugs, buffer overflow, etc.) Humanas Falta de entrenamiento (contraseñas, introducción de datos, etc.) Enfermedades

25 Top 10 en servidores Instalaciones con mala configuración (default) Sistemas no actualizados (parches) Autenticación pobre Contraseñas débiles Cuentas default Exceso de privilegios en los usuarios Protección no adecuada de archivos Supervisión de sistemas no adecuada (logs) Respaldos (estrategia) Seguridad física débil Gartner 2006

26 Amenazas Una amenza explota una vulnerabilidad Humanas Maliciosas Personas externas (piratas informáticos) Personas internas (empleados descontentos) No maliciosas Empleados ignorantes Desastres naturales Inundaciones, incendios, terremotos, huracanes

27 Impactos (dimensiones) Reputación Imagen (pérdida de clientes) Financiero Incremento en costos operativos Pérdida de ingresos Multas por SLA Productividad Desempeño de los procesos Legales y regulatorios Privacidad de datos

28 Controles Tecnología Política Proceso Procedimiento Contrarresta una amenaza Disminuye riesgo asociado a un activo

29 Métodos de control Controles técnicos Protecciones que se incluyen en hardware y software Controles no técnicos Controles gerenciales y operativos Políticas de seguridad Procedimientos operativos Seguridad del personal, física y ambiental

30 Tipos de controles Controles tecnológicos Controles físicos Edificios, CCTV, bardas, etc. Controles lógicos Sistemas, redes, etc. Controles normativos Políticas Procedimientos Controles humanos Personal Entrenamiento

31 Tipos de controles (físicos) Disuasivos Bardas, señales de aviso, guardias, perros Para retardos Cerraduras, Controles de acceso Detección de intrusos Externos, internos, CCTV Respuesta Procedimiento de emergencia, policía, bomberos

32 Tipos de controles (funcionalidaad) Preventivos Detectivos Correctivos Disuasivos Recuperación Compensatorios

35 Principio de protección adecuada Los recursos de cómputo deben ser protegidos solamente hasta que pierdan su valor El nivel de protección debe ser consistente con su valor Seguridad absoluta Precio infinito

36 Principio de más fácil penetración El eslabón más débil Intruso utilizará cualquier medio disponible La penetración no será necesariamente por el medio más obvio Tampoco será por el punto con defensa más sólida

37 Seguridad por niveles (Defense in depth) Defensa por capas No un solo punto de defensa infalible Esquema de la cebolla (onion)

38 Seguridad Informática

39 Seguridad de la información El problema no es solamente tecnológico. El ser humano es el eslabón más débil La información se debe proteger sin importar el formato digital, impresa, verbal, almacenada, destruida, procesada, perdida, etc.

Documentos relacionados

SEGURIDAD INFORMATICA. Vulnerabilidades

SEGURIDAD INFORMATICA. Vulnerabilidades SEGURIDAD INFORMATICA Vulnerabilidades Amenazas Riesgos GESTION DEL RIESGO En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Riesgos La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD