Al igual que las finanzas, el personal y la cartera de clientes, hoy en día uno de los activos mas valiosos de una organización es: LA INFORMACIÓN Y EL CONOCIMIENTO Información sensible de clientes Competitividad Desarrollo Soporte de decisiones Reputación Poder
Una recopilación, acumulación y evaluación de evidencia sobre información y los sistemas de una entidad. Una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptados.
De cumplimiento: Analizan y determinan los controles del sistema, trabajando directamente sobre el comportamiento del mismo. Sustantivas: Analizan el contenido residente en medios de almacenamiento
Tipos de controles: Preventivos: su finalidad es reducir la ocurrencia del hecho. Detectivos: descubren cuando sucedió el hecho Correctivos: una vez detectado, intentan corregir el hecho.
Tipos de Riesgos Naturales Errores y Omisiones humanos Actos intencionales
Evitar Disuadir Prevenir Detectar Recuperar y corregir
Cada sistema es único y por lo tanto la política de seguridad a implementar no será única Minimizando la posibilidad de ocurrencia Reduciendo al mínimo el perjuicio sufrido Diseño de métodos para la mas rápida recuperación de los daños experimentados
Riesgo: Toda amenaza que puede atentar contra el logro de un objetivo. Qué puede fallar-pasar? Identifico Riesgos Evalúo y Mido riesgos Tomo decisiones
Permite mejorar las decisiones de respuesta de riesgo Hace mas previsible a una organización Permite nivel adecuado de decisión Deslinda responsabilidad exclusiva del Management
Medición inherente Identificacion y evaluacion de controles Medición residual Medición inherente CONTROLES Medición residual
Impacto: Conjunto de posibles efectos negativos sobre la organización en todos sus niveles. Probabilidad de ocurrencia: Manifestación numérica de la posible concreción de un hecho.
Impacto Probabilidad Valor riesgo Preventivo Detectivo Manual Sistémico Impacto Probabilidad Impacto Probabilidad Valor residual Riesgo Inherente Controles Tipo de control Reduce Riesgo Residual Riesgo Posibilidad de que información crítica para la empresa, se destruya o modifique, accidental o intencionalmente. A M A - Copia de seguridad diaria de las operaciones. - Resguardo adecuado de las copias de seguridad. X X X X X X M M M
Negocios dependen fuertemente de la tecnología Sistematización y automatización de procesos La interrupción de estos, podría causar serias pérdidas financieras, prestigio, clientes, etc.
Un plan de recuperación de desastres es una declaración de acciones consecuentes que se deben realizar antes, durante y después del desastre. Este plan debe ser probado y registrado para asegurar la continuidad de las operaciones y la disponibilidad de los recursos necesarios en caso de desastre. Estructurar un plan antes de que se llegue a necesitar.
Es un conjunto de métodos y herramientas destinadas a proteger la información, sea cual fuere su tipología ( digital, impresa, conocimientos) y a los procesos, personas, dispositivos, sistemas, etc. Que utilizan de diversas formas esta información, ante cualquier tipo de amenaza que pudiera atentar contra su Integridad, Confidencialidad y/o Disponibilidad La seguridad informática no es un producto, sino un PROCESO CONTINUO E INTEGRAL en el cual participan diversos actores en forma permanente. (personas, tecnología, procesos)
Integridad: La información debe ser completa exacta y valida. Y tiene que ser protegida contra alteraciones, modificaciones, o cambios no autorizados, adicionalmente no debe ser perdida, modificada o corrompida. Confidencialidad: La información sensitiva debe ser revelada solo a los individuos autorizados en el momento indicado. Es decir, debe ser protegida de divulgación no autorizada o prematura. Disponibilidad: La característica de accesibilidad a la información para uso inmediato, implica que los sistemas de información funcionan de acuerdo a lo programado, los datos están disponibles para su uso y son fácilmente recuperables en caso de pérdida.
NUNCA PASA NADA HASTA QUE PASA
Principales Amenazas: 1. Desastres Naturales 2. Errores y Omisiones 3. Sabotajes internos y externos
Riesgo de Incendio Materiales ignífugos. Detectado por sensores de temperatura y de humo. La extinción se puede dar mediante matafuegos, Rociadores de agua (Sprinklers). Inundación del área con un gas especial (Bióxido de carbono, Halon 1301, etc.) No debe estar permitido fumar en el área de proceso.
Riesgo de Incendio Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables. El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.
Pisos de Placas Extraíbles: Los cables de alimentación, comunicaciones, interconexión de equipos, receptáculos asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extraíbles, debajo del mismo Cableado de Alto Nivel de Seguridad: cableados de redes que se recomiendan para instalaciones con grado de seguridad. El objetivo es impedir la posibilidad de infiltraciones y monitoreo de la información que circula por el cable. Consta de un sistema de tubos (herméticamente cerrados) por cuyo interior circula aire a presión y el cable. A lo largo de la tubería hay sensores conectados a una computadora. Si se detecta algún tipo de variación de presión se dispara un sistema de alarma.
Riesgo de Terremotos e Inundaciones: Informes climatológicos que notifique la proximidad de una catástrofe climática Corte de electricidad Construir un techo impermeable para evitar el paso de agua desde un nivel superior Acondicionar las puertas para contener el agua que bajase por las escaleras
Prevención de robo, intrusión o asalto Circuito cerrado de televisión (CCTV). Personal de seguridad. Sensor de movimiento. Barreras infrarrojas. Edificios inteligentes.
La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Prevenir el acceso indebido a individuos no autorizados Acceso a sistemas solo para determinadas tareas Controles de acceso Perfiles de usuario Identificación: el usuario se da a conocer en el sistema Autenticación: la verificación que realiza el sistema sobre esta identificación. Autorización
ALGO QUE SOY + ALGO QUE TENGO + ALGO QUE SE
Utilización de sistemas biométricos: Emisión de Calor: Se mide la emisión de calor del cuerpo (termograma), realizando un mapa de valores sobre la forma de cada persona. Huella Digital: Basado en el principio de que no existen dos huellas dactilares iguales. El método es sumamente confiable.
Distintos tonos de voz Verificación de Voz: La dicción de una (o más) frase es grabada y en el acceso se compara la vos (entonación, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc.
Verificación de Patrones Oculares: Estos modelos pueden estar basados en los patrones del iris o de la retina y hasta el momento son los considerados más efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0).
Verificación Automática de Firmas (VAF): Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona. La VAF, registra las emisiones acústicas del proceso dinámico de firmar o de escribir, estas constituyen un patrón único en cada individuo. El equipamiento de colección de firmas es de bajo costo y robusto.
Nos permiten ingresar a un lugar o a un sistema Tarjetas magnéticas Una llave Identificación personal Token
Token: Es un dispositivo del tamaño de un pen drive, con una pantalla de cristal liquido. Un Token OTP funciona mediante un mecanismo que genera una clave distinta y de un solo uso. ("One Time Password", OTP) el usuario ingresa una clave y luego el token muestra un ID que puede ser usado para ingresar a una red. Los IDs cambian cada 60 segundos.
Como crear una Password Fuerte.. Y recordarla Escribir fonéticamente: magali= emeageaelei Cuanto más extensas, más eficientes. No utilizar caracteres secuenciales: 1234, qwerty, etc. Utilizar mayúsculas y minúsculas. Utilizar caracteres especiales y números. Utilizar una frase escondida: A las 6 am tomo café con leche = @6amTC+L RECURSO BARATO Y EFECTIVO.
Passwords: Cambiarlas frecuentemente. NUNCA JAMÁS anotarlas en ningún lugar, ni tampoco tener un archivo con claves. NUNCA NUNCA JAMÁS decirlas o compartirlas.
Encriptación: es un proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede. leerse aplicándole una clave.
La clave es un valor que es independiente del texto o mensaje a cifrar. El algoritmo va a producir una salida diferente para el mismo texto de entrada dependiendo de la clave utilizada.
Convencional o de Clave Privada: Consta de dos partes, un algoritmo y una clave. Una vez cifrado, el mensaje puede ser transmitido. El mensaje original puede ser recuperado a través de un algoritmo de desencriptación y la clave usada para la encriptación. 40
Criptografía de Clave Pública: Los algoritmos de criptografía pública se basan en una clave para encriptación y una clave relacionada pero distinta para la desencriptación.
Riesgo de pérdida o transformación de información Permite restaurar la información y su sistema después de una catástrofe. Puedes restaurar datos después de que éstos hayan sido eliminados o dañados imprevistamente. Los backups pueden hacerse en dispositivos externos:cd, DVD, pendrives, discos rígidos o pueden realizarse en un centro de respaldo propio mediante Internet.
Resguardo de back up en un lugar seguro No olvidar encriptar el back up!! Sincronización vs Back up: Sincronizar es tomar una foto de la información El back up es un proceso continuo, en donde se pueden observar las transformaciones de dicha información Dia internacional del back up : 31 de Marzo http://www.worldbackupday.net/ Frecuencia no mas de una semana
Riesgo: Desprotección contra malware e intrusos al conectarse a Internet. Manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.
Ancho de banda "consumido" por el trafico de la red se utiliza para economizar. Monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.
Es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. No son sistemas inteligentes, actúan de acuerdo a parámetros introducidos por su diseñador NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta.
Cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna.
Amenazas y Riesgos: Infección por virus, gusanos, troyanos, etc. Espionaje de información por el uso de Spyware; Robo de identidad; invasión a la privacidad Quedar en lista negra por Spammer Adulteración, desvío o destrucción de la información
Realizar delitos a terceros con recursos de la empresa, perjudicando la imagen de la firma Transferencias de fondos no deseadas Interrupción de las operaciones Intervención de telecomunicaciones Pérdida de clientes
El factor mas inseguro es el HUMANO Aprovechamiento del comportamiento humano para la obtención de información: Exceso de confianza y credibilidad Desatención Desprolijidad Curiosidad Deshonestidad Despecho u odio hacia la organización Temor ante acciones de superiores Existencia de información pública
Acciones especificas sobre la futura victima: Seguimiento Búsquedas en internet Phishing Shoulder surfing
Formas de contagio: Instalación por el usuario, ejecuta el programa sin darse cuenta Los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.
Sólo detección: sólo actualizan archivos infectados, no pueden eliminarlos o desinfectarlos. Detección y desinfección: detectan archivos infectados y que pueden desinfectarlos. Detección y aborto de la acción: detectan archivos infectados y detienen las acciones que causa el virus.
Invocado por el usuario: se activan instantáneamente con el usuario. Invocado por la actividad del sistema: se activan instantáneamente por la actividad del sistema operativo.
Qué es? Es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, para luego ser usados de forma fraudulenta.
En que consiste? Suplantando la imagen de una empresa o entidad publica, de esta manera hacen creer a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
Software anti phishing muestra el dominio real visitado Filtros anti spam, reduce el numero de emails phishing Spear Phishing
Gracias! Preguntas? Tecnología de la Información FCE UBA 2011