LA INFORMACIÓN Y EL CONOCIMIENTO

Documentos relacionados
Información Por qué hay que cuidarla?

Auditoría y Seguridad Informática

Ingeniería social. Amenazas externas

SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López

SEGURIDAD INFORMATICA. Vulnerabilidades

Módulo Seguridad Informática. Objetivos del módulo

Bloque I Criptografía

qwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqw ertyuiopasdfghjklzxcvbnmqwer tyuiopasdfghjklzxcvbnmqwerty Seguridad y Alta Disponibilidad

o Seguridad en el acceso a recursos: o Establecer identidad del solicitante (Autentificación). o Permitir o denegar el acceso (Autorizar).

UT1-2 SEGURIDAD FÍSICA Y AMBIENTAL. Seguridad y Alta Disponibilidad

Seguridad de la información: consideraciones básicas en la informática

SEGURIDAD EN SI EXACTITUD INTEGRIDAD PROTECCIÓN

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

Qué es la seguridad informática?

INTRODUCCIÓN A LA ADMINISTRACIÓN DE REDES I N G. M O I S É S A L V A R E Z H U A M Á N

PCP Ingeniería Aplicada

Universidad Autónoma de Santo Domingo (UASD) Facultad de Ciencias. Introducción a la Informática Inf-103. Unidad 07

Punto 5 Seguridad Física y ambiental. Juan Luis Cano

Introducción a la Seguridad Informática

Luis Villalta Márquez

Septiembre Enrique Witte Consultor ArCERT Coordinación n de Emergencias en Redes Teleinformáticas Oficina Nacional del Tecnologías Informáticas

REVISIÓN DOCUMENTAL DE LA INFRAESTRUCTURA TECNOLÓGICA

Unidad 2 Intro a la Seguridad

Sistemas Operativos Tema 10. Seguridad y Protección UNED Manuel Fernández Barcell

Introducción a la Seguridad Informática

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA ROBO DE IDENTIDAD EN INTERNET: USO INDEBIDO DE DATOS PERSONALES

Seguridad Informática. Implicancia e implementación

Política de Seguridad

Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

POLITICAS Y SEGURIDAD DE LA INFORMACION

SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Seguridad de la Información

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE No O&:L EFA/OTI

RETOS DE LA SEGURIDAD PÚBLICA EN CIUDADES INTELIGENTES. Comisionada María Elena Estavillo Flores 17 de noviembre de 2016 Ciudad de México

Reporte de incidente de seguridad informática.

Seguridad física y ambiental. Javier Rodríguez Granados

Ppt 2 Seguridad Informatica

Seguridad en la Información

Amenazas. Tipos. Gabriel Montañés León

SEGURIDAD EN COMUNICACIONES

COBIT 5. Gestión / Entrega, Servicio y Soporte (DSS) 05 Gestionar Servicios de Seguridad. Juan Antonio Vásquez

Cada día se realizan copias de seguridad automatizadas y el lugar de los servidores es monitorizado 24/7 y protegidos ante intrusos y accidentes.

Implicacione s sociales de la Informática

Seguridad Informática

Sistema de Gestión de la Calidad VAF Vicerrectoría Administrativa y Financiera SEGURIDAD INFORMÁTICA SUBPROCESO:

_ DOBLE MÉTODO DE AUTENTICACIÓN: TWO FACTOR AUTHENTICATION O 2FA

REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

El resultado de aprendizaje supone el 78,72 % de la evaluación y el 35,60 % del total del módulo ACTIVIDADES QUE PERMITEN COMPROBAR SU

Análisis forense en S.I.

Índice. agradecimientos introducción...15

Cibercriminalidad. Ponente: M.T.I. Oscar Manuel Lira Arteaga

TÉCNICAS DE HACKING ÉTICO

Anatomía de un ataque ransomware

Seguridad Física y ambiental. Gabriel Montañés León

UD 1: Adopción de pautas de seguridad informática

UD 1: Adopción de pautas de seguridad informática

Dirección y Gerencia

Seguridad de la Información. 1er cuat. 2016

Objetivos. Saber que es la Seguridad Informática. Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática

UNIVERSIDAD AUTONOMA DE QUERETARO Facultad de Informática

POLICÍA NACIONAL DEL ECUADOR DIRECCIÓN NACIONAL DE COMUNICACIONES

Curso Especializado Seguridad Informática GNU/LINUX

ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9

El valor del filtrado por DNS en el sistema de seguridad de la información en México

TECNOLOGÍAS PARA PYMES GLOSARIO. Small Business IT Solutions REGRESAR AL ÍNDICE

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Seguridad en Comunicaciones Móviles

TRANSACCIONES Y DECLARACIONES ELECTRÓNICAS

El Enemigo Está Dentro Impacto de la Falta de Seguridad en el Negocio

Para qué se usan las botnets?

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

ROBERTO DIAZGRANADOS DIAZ

RECOMENDACIONES DE SEGURIDAD

Seguridad de la Información

Universidad Autónoma del Estado de México ADMINISTRACIÓN Y SEGURIDAD EN SISTEMAS OPERATIVOS SEGURIDAD SOBRE WINDOWS POR: J. JAIR VÁZQUEZ PALMA

Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad

Elementos vulnerables en el sistema informático: hardware, software y datos. Luis Villalta Márquez

Presentación del Proyecto Declaraciones Juradas Electrónicas

El software de seguridad permite restringir el acceso al microcomputador, de

INSTITUTO MIXTO DE AYUDA SOCIAL GERENCIA GENERAL ÁREA TECNOLOGÍAS DE INFORMACIÓN. Política de Seguridad de la información POL-TI-08

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

Mesa De Ayuda Tech And Support. Módulo De Sistemas

JM Reglamento para la Administración del Riesgo Tecnológico By Juan Antonio Vásquez

I.Identificación. 1 Nombre: * 2 Institución: * 3 Puesto o cargo que ocupa en la Institución: *

Dinamismo Innovación Cumplimiento

SEGURIDAD INFORMÁTICA

Principios de la Seguridad Informática

GABINETE DE AUDITORIA DE SISTEMAS

Control: Políticas, procedimientos, prácticas, reglas para propiciar la seguridad. Control y auditoria están vinculados mediante el control interno.

2.4. Unidades de Aprendizaje. Unidad de aprendizaje: Distinción de la normatividad del derecho informático. Número 1. Propósito de la unidad

EMPRESAS EMISORAS DE TARJETAS DE PAGO NO BANCARIAS EMPRESAS OPERADORAS DE TARJETAS DE PAGO

2 INDICE I. INTRODUCCIÓN...3 II. OBJETIVO... 4 III. TERMINOLOGÍA...5 IV. MARCO LEGAL... 5 V. DESCRIPCIÓN DEL PROCESO...6 VI. DIAGRAMA DE FLUJO...8 VII

Transcripción:

Al igual que las finanzas, el personal y la cartera de clientes, hoy en día uno de los activos mas valiosos de una organización es: LA INFORMACIÓN Y EL CONOCIMIENTO Información sensible de clientes Competitividad Desarrollo Soporte de decisiones Reputación Poder

Una recopilación, acumulación y evaluación de evidencia sobre información y los sistemas de una entidad. Una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptados.

De cumplimiento: Analizan y determinan los controles del sistema, trabajando directamente sobre el comportamiento del mismo. Sustantivas: Analizan el contenido residente en medios de almacenamiento

Tipos de controles: Preventivos: su finalidad es reducir la ocurrencia del hecho. Detectivos: descubren cuando sucedió el hecho Correctivos: una vez detectado, intentan corregir el hecho.

Tipos de Riesgos Naturales Errores y Omisiones humanos Actos intencionales

Evitar Disuadir Prevenir Detectar Recuperar y corregir

Cada sistema es único y por lo tanto la política de seguridad a implementar no será única Minimizando la posibilidad de ocurrencia Reduciendo al mínimo el perjuicio sufrido Diseño de métodos para la mas rápida recuperación de los daños experimentados

Riesgo: Toda amenaza que puede atentar contra el logro de un objetivo. Qué puede fallar-pasar? Identifico Riesgos Evalúo y Mido riesgos Tomo decisiones

Permite mejorar las decisiones de respuesta de riesgo Hace mas previsible a una organización Permite nivel adecuado de decisión Deslinda responsabilidad exclusiva del Management

Medición inherente Identificacion y evaluacion de controles Medición residual Medición inherente CONTROLES Medición residual

Impacto: Conjunto de posibles efectos negativos sobre la organización en todos sus niveles. Probabilidad de ocurrencia: Manifestación numérica de la posible concreción de un hecho.

Impacto Probabilidad Valor riesgo Preventivo Detectivo Manual Sistémico Impacto Probabilidad Impacto Probabilidad Valor residual Riesgo Inherente Controles Tipo de control Reduce Riesgo Residual Riesgo Posibilidad de que información crítica para la empresa, se destruya o modifique, accidental o intencionalmente. A M A - Copia de seguridad diaria de las operaciones. - Resguardo adecuado de las copias de seguridad. X X X X X X M M M

Negocios dependen fuertemente de la tecnología Sistematización y automatización de procesos La interrupción de estos, podría causar serias pérdidas financieras, prestigio, clientes, etc.

Un plan de recuperación de desastres es una declaración de acciones consecuentes que se deben realizar antes, durante y después del desastre. Este plan debe ser probado y registrado para asegurar la continuidad de las operaciones y la disponibilidad de los recursos necesarios en caso de desastre. Estructurar un plan antes de que se llegue a necesitar.

Es un conjunto de métodos y herramientas destinadas a proteger la información, sea cual fuere su tipología ( digital, impresa, conocimientos) y a los procesos, personas, dispositivos, sistemas, etc. Que utilizan de diversas formas esta información, ante cualquier tipo de amenaza que pudiera atentar contra su Integridad, Confidencialidad y/o Disponibilidad La seguridad informática no es un producto, sino un PROCESO CONTINUO E INTEGRAL en el cual participan diversos actores en forma permanente. (personas, tecnología, procesos)

Integridad: La información debe ser completa exacta y valida. Y tiene que ser protegida contra alteraciones, modificaciones, o cambios no autorizados, adicionalmente no debe ser perdida, modificada o corrompida. Confidencialidad: La información sensitiva debe ser revelada solo a los individuos autorizados en el momento indicado. Es decir, debe ser protegida de divulgación no autorizada o prematura. Disponibilidad: La característica de accesibilidad a la información para uso inmediato, implica que los sistemas de información funcionan de acuerdo a lo programado, los datos están disponibles para su uso y son fácilmente recuperables en caso de pérdida.

NUNCA PASA NADA HASTA QUE PASA

Principales Amenazas: 1. Desastres Naturales 2. Errores y Omisiones 3. Sabotajes internos y externos

Riesgo de Incendio Materiales ignífugos. Detectado por sensores de temperatura y de humo. La extinción se puede dar mediante matafuegos, Rociadores de agua (Sprinklers). Inundación del área con un gas especial (Bióxido de carbono, Halon 1301, etc.) No debe estar permitido fumar en el área de proceso.

Riesgo de Incendio Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables. El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.

Pisos de Placas Extraíbles: Los cables de alimentación, comunicaciones, interconexión de equipos, receptáculos asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extraíbles, debajo del mismo Cableado de Alto Nivel de Seguridad: cableados de redes que se recomiendan para instalaciones con grado de seguridad. El objetivo es impedir la posibilidad de infiltraciones y monitoreo de la información que circula por el cable. Consta de un sistema de tubos (herméticamente cerrados) por cuyo interior circula aire a presión y el cable. A lo largo de la tubería hay sensores conectados a una computadora. Si se detecta algún tipo de variación de presión se dispara un sistema de alarma.

Riesgo de Terremotos e Inundaciones: Informes climatológicos que notifique la proximidad de una catástrofe climática Corte de electricidad Construir un techo impermeable para evitar el paso de agua desde un nivel superior Acondicionar las puertas para contener el agua que bajase por las escaleras

Prevención de robo, intrusión o asalto Circuito cerrado de televisión (CCTV). Personal de seguridad. Sensor de movimiento. Barreras infrarrojas. Edificios inteligentes.

La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Prevenir el acceso indebido a individuos no autorizados Acceso a sistemas solo para determinadas tareas Controles de acceso Perfiles de usuario Identificación: el usuario se da a conocer en el sistema Autenticación: la verificación que realiza el sistema sobre esta identificación. Autorización

ALGO QUE SOY + ALGO QUE TENGO + ALGO QUE SE

Utilización de sistemas biométricos: Emisión de Calor: Se mide la emisión de calor del cuerpo (termograma), realizando un mapa de valores sobre la forma de cada persona. Huella Digital: Basado en el principio de que no existen dos huellas dactilares iguales. El método es sumamente confiable.

Distintos tonos de voz Verificación de Voz: La dicción de una (o más) frase es grabada y en el acceso se compara la vos (entonación, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc.

Verificación de Patrones Oculares: Estos modelos pueden estar basados en los patrones del iris o de la retina y hasta el momento son los considerados más efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0).

Verificación Automática de Firmas (VAF): Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona. La VAF, registra las emisiones acústicas del proceso dinámico de firmar o de escribir, estas constituyen un patrón único en cada individuo. El equipamiento de colección de firmas es de bajo costo y robusto.

Nos permiten ingresar a un lugar o a un sistema Tarjetas magnéticas Una llave Identificación personal Token

Token: Es un dispositivo del tamaño de un pen drive, con una pantalla de cristal liquido. Un Token OTP funciona mediante un mecanismo que genera una clave distinta y de un solo uso. ("One Time Password", OTP) el usuario ingresa una clave y luego el token muestra un ID que puede ser usado para ingresar a una red. Los IDs cambian cada 60 segundos.

Como crear una Password Fuerte.. Y recordarla Escribir fonéticamente: magali= emeageaelei Cuanto más extensas, más eficientes. No utilizar caracteres secuenciales: 1234, qwerty, etc. Utilizar mayúsculas y minúsculas. Utilizar caracteres especiales y números. Utilizar una frase escondida: A las 6 am tomo café con leche = @6amTC+L RECURSO BARATO Y EFECTIVO.

Passwords: Cambiarlas frecuentemente. NUNCA JAMÁS anotarlas en ningún lugar, ni tampoco tener un archivo con claves. NUNCA NUNCA JAMÁS decirlas o compartirlas.

Encriptación: es un proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede. leerse aplicándole una clave.

La clave es un valor que es independiente del texto o mensaje a cifrar. El algoritmo va a producir una salida diferente para el mismo texto de entrada dependiendo de la clave utilizada.

Convencional o de Clave Privada: Consta de dos partes, un algoritmo y una clave. Una vez cifrado, el mensaje puede ser transmitido. El mensaje original puede ser recuperado a través de un algoritmo de desencriptación y la clave usada para la encriptación. 40

Criptografía de Clave Pública: Los algoritmos de criptografía pública se basan en una clave para encriptación y una clave relacionada pero distinta para la desencriptación.

Riesgo de pérdida o transformación de información Permite restaurar la información y su sistema después de una catástrofe. Puedes restaurar datos después de que éstos hayan sido eliminados o dañados imprevistamente. Los backups pueden hacerse en dispositivos externos:cd, DVD, pendrives, discos rígidos o pueden realizarse en un centro de respaldo propio mediante Internet.

Resguardo de back up en un lugar seguro No olvidar encriptar el back up!! Sincronización vs Back up: Sincronizar es tomar una foto de la información El back up es un proceso continuo, en donde se pueden observar las transformaciones de dicha información Dia internacional del back up : 31 de Marzo http://www.worldbackupday.net/ Frecuencia no mas de una semana

Riesgo: Desprotección contra malware e intrusos al conectarse a Internet. Manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.

Ancho de banda "consumido" por el trafico de la red se utiliza para economizar. Monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.

Es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. No son sistemas inteligentes, actúan de acuerdo a parámetros introducidos por su diseñador NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta.

Cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna.

Amenazas y Riesgos: Infección por virus, gusanos, troyanos, etc. Espionaje de información por el uso de Spyware; Robo de identidad; invasión a la privacidad Quedar en lista negra por Spammer Adulteración, desvío o destrucción de la información

Realizar delitos a terceros con recursos de la empresa, perjudicando la imagen de la firma Transferencias de fondos no deseadas Interrupción de las operaciones Intervención de telecomunicaciones Pérdida de clientes

El factor mas inseguro es el HUMANO Aprovechamiento del comportamiento humano para la obtención de información: Exceso de confianza y credibilidad Desatención Desprolijidad Curiosidad Deshonestidad Despecho u odio hacia la organización Temor ante acciones de superiores Existencia de información pública

Acciones especificas sobre la futura victima: Seguimiento Búsquedas en internet Phishing Shoulder surfing

Formas de contagio: Instalación por el usuario, ejecuta el programa sin darse cuenta Los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.

Sólo detección: sólo actualizan archivos infectados, no pueden eliminarlos o desinfectarlos. Detección y desinfección: detectan archivos infectados y que pueden desinfectarlos. Detección y aborto de la acción: detectan archivos infectados y detienen las acciones que causa el virus.

Invocado por el usuario: se activan instantáneamente con el usuario. Invocado por la actividad del sistema: se activan instantáneamente por la actividad del sistema operativo.

Qué es? Es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, para luego ser usados de forma fraudulenta.

En que consiste? Suplantando la imagen de una empresa o entidad publica, de esta manera hacen creer a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.

Software anti phishing muestra el dominio real visitado Filtros anti spam, reduce el numero de emails phishing Spear Phishing

Gracias! Preguntas? Tecnología de la Información FCE UBA 2011

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback