Seguridad. Informática

Documentos relacionados
SEGURIDAD INFORMATICA. Vulnerabilidades

COBIT 5. Gestión / Entrega, Servicio y Soporte (DSS) 05 Gestionar Servicios de Seguridad. Juan Antonio Vásquez

Servicios en Seguridad de la información.

Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad

Qué es la seguridad informática?

Bloque I Criptografía

Curso de Preparación para CISSP 27 al 31 de marzo 2017 Santo Domingo

Norma IRAM-ISO/IEC 27001

SEGURIDAD EN COMUNICACIONES

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

ANEXO B PLANTILLA PARA EJECUTAR LA EVALUACIÓN EN EL SGSI DE LAS ENTIDADES GUBERNAMENTALES

Seguridad Informática

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

Seguridad. Centro Asociado de Melilla

El resultado de aprendizaje supone el 78,72 % de la evaluación y el 35,60 % del total del módulo ACTIVIDADES QUE PERMITEN COMPROBAR SU

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

Introducción a la Seguridad Informática

Seguridad. Carrera: SDC SATCA 1

Seguridad de la información como medida para la protección de los datos

Dirección y Gerencia

SERVICIOS EN SEGURIDAD DE LA INFORMACION SISTESEG BOGOTA/COLOMBIA

Curso Especializado Seguridad Informática GNU/LINUX

Nuevos retos de Seguridad la importancia del elemento humano

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Diplomado Gestión de la Seguridad de la Información

INFORMATICA concepto. AUDITORIA Concepto

REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

Análisis de Vulnerabilidades

Tema 1 DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN. TIPOS DE ATAQUES

Criptografía: principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad.

Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

SEGURIDAD INFORMATICA CORPORATIVA

Principios Básicos de Seguridad en Bases de Datos

Código: J63.02 Nivel: 3. Actividades de servicios de información. Procesamiento de datos, hospedaje y actividades conexas; portales web

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Seguridad de la información: consideraciones básicas en la informática

POLITICAS Y SEGURIDAD DE LA INFORMACION

Recomendaciones en materia de Seguridad de Datos Personales

Contenido. Este documento impreso se considera copia no controlada

Diplomado. Tecnologías de Ciberseguridad

Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernética. Gabriela Espinosa Calderón

Todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la

Ciberseguridad. Octubre no es lo mismo que Seguridad de la Información

Seguridad Informática en Bibliotecas

Esquema de arquitectura y seguridad.

REVISIÓN DOCUMENTAL DE LA INFRAESTRUCTURA TECNOLÓGICA

ISO/IEC 17799:2005(E)

Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

Requerimientos básicos en la gestión de la seguridad de la información

UNIDAD ACADÉMICA DE INGENIERÍA CIVIL CARRERA DE INGENIERÍA DE SISTEMAS

Examen Cisco Online CCNA4 V4.0 - Capitulo 4. By Alen.-

CAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP

Seguridad de la Información (aproximación) René F. Aguirre Quino

Principios de la Seguridad Informática

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC

Este dominio consta de 13 procesos que se describen a continuación.

Smart decisions. Lasting value. Presentación de Servicios Sistemas de Gestión de Seguridad de la Información - Ciberseguridad

Charla de Preparación para la Pre-Auditoría del SGSI

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

ESTRUCTURA RECOMENDADA PARA EL DOCUMENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 VERSIÓN 1.0

GUIA DE RESPONSABILIDADES EN EL USO DE DISPOSITIVOS MÓVILES

Índice. agradecimientos introducción...15

SEGURIDAD EN SI EXACTITUD INTEGRIDAD PROTECCIÓN

Programa Asignatura. I.- Identificación

Módulo II. El Programa de Datos Personales Definiciones y Planeación Controles en Procesos, Personas y Tecnología El objetivo puesto en la

Política de Seguridad Informática

Anexo A Seguridad de la información

Ciberseguridad utilizando la norma ISO 27032:2012

MÓDULO VIII. La Auditoría Informática en el entorno del Compliance. 27 de Marzo de 2017 Curso Superior en Corporate Compliance.

Contenido. Introducción

Titulación: Ingeniero en Informática. Curso 5º - Cuatrimestral ( ) Javier Jarauta Sánchez José María Sierra Rafael Palacios Hielscher

Programa Exportando Calidad e Inocuidad (ECI) y El Centro para el Desarrollo Agropecuario y Forestal (CEDAF).


Criptografía: principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad.

Introducción a Seguridad en Redes. Emilio Hernández

SLA Service Level Agreement ClickBalance

Qué es la Seguridad? Seguridad (rae) Seguro (rae)

POLITICA DE SEGURIDAD DE LA INFORMACION

UNIVERSIDAD TECNOLÓGICA DE LA SIERRA HIDALGUENSE Registro Plan de Curso

Universidad de los Lagos

Normativas relacionadas con Seguridad Informática

Sistema de gestión de la continuidad empresarial Una práctica de la Autoridad Pública del Seguro Social

Objetivos. Saber que es la Seguridad Informática. Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática

MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

José Luis ORNAT ASO Sargento de la Guardia Civil - Comandancia de Zaragoza

Práctica fundamentos de seguridad informática

PROBLEMÁTICAS DE PCI DSS EN CONTACT CENTERS & BPO

ISO GAP ANALYSIS

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00

Mejores Prácticas sobre Normativa de Ciberseguridad AGENDA. Ataques Cibernéticos al Sistema Financiero Internacional

PRUEBAS DE PENETRACIÓN EN AMBIENTES DE NUBE. Ing. Javier Hernández Calderón Consultor en Seguridad Informática

Transcripción:

Seguridad Informática

Algunas definiciones

SEGURIDAD Cualidad de seguro Seguro: Libre y exento de todo peligro, daño o riesgo PROTEGIDO

Información Conocimiento Un Unactivo activoque, que,al aligual igualque quecualquier cualquierotro otro activo activoimportante importantedel delnegocio, negocio,es esesencial esencial yypor porlo lotanto tantoestá estásujeto sujetoaaser serprotegido protegido ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management

Seguridad Informática Protección de información (datos) Sin importar el formato o el almacenamiento

Seguridad Informática Seguridad Seguridadde delalainformación informaciónes eslalaprotección protecciónde delala información informaciónde deuna unaamplia ampliagama gamade deamenazas, amenazas,con conelel fin finde deasegurar asegurarlalacontinuidad continuidaddel delnegocio, negocio,minimizar minimizar los losriesgos riesgosyymaximizar maximizarelelretorno retornode delalainversión inversiónyylas las oportunidades oportunidadesde denegocio. negocio. ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management

Seguridad computacional Protección de información en sistemas computacionales Criptografía Programas Sistemas operativos Redes Bases de datos Procedimientos y políticas

Metas de la seguridad

Confidencialidad Solo personas autorizadas tienen acceso a los recursos de un sistema Acceso incluye lectura, impresión, conocimiento de existencis, etc. Partes pequeñas de información también son importantes

Integridad La información puede ser modificada sólo de manera autorizada Depende mucho de las políticas del sistema Información Precisa, exacta, no modificada o modificada sólo por gentes o procesos autorizados y de manera aceptable

Disponibilidad Los servicios y los datos son accesibles a los usuarios autorizados cuando lo necesitan Tiempo adecuado

Metas de la seguridad Confidencialidad SEGURO Disponibilidad Integridad

Componentes de la Seguridad Alfredo Aranguren, CISSP, CISA, CISM

Tendencias que afectan la seguridad Asuntos legales y privacidad Demandas y requisitos federales Acceso inalámbrico Muchos usuarios, muchos dispositivos La necesidad de velocidad Soluciones de software no escalan bien Escasez de personal de TI Soluciones externas Cisco

Vulnerabilidad, amenaza, control Una amenaza es bloqueada controlando una vulnerabilidad Ataque: Explotación de una vulnerabilidad

Vulnerabilidades Hardware Software Medios de almacenamiento Datos Procedimientos y políticas Redes Servidores Personas

Riesgo ISO 31000 Risk Assesment Process Evaluar activos Identificar, caracterizar y evaluar amenzas Evaluar vulnerabilidades de activos críticos Determinar el riesgo Consecuencias posibles de ciertos ataques sobre ciertos activos (Impacto) Identificar maneras de reducir el riesgo Priorizar medidas para reducir el riesgo

Frecuencia Administración del riesgo REDUCIRLO EVITARLO ASUMIRLO TRANSFERIRLO Severidad

Administración del Riesgo Riesgo Riesgo Impacto Impacto negocio negocio Am en aza s Controles Controles Activos Activos negocio negocio Vulnerabilidades Vulnerabilidades internas y externas internas y externas

Probabilidad de ataque Impacto al negocio Nivel De Riesgo Cálculo del riesgo ROI Productividad Conexión Riesgo Riesgo==Probabilidad Probabilidadde deataque ataque**impacto Impacto The purpose of risk management is to change the future, not to explain the past The book of risk, Dan Borge

Proceso (gobierno)

Cubo de McCumber

Proceso (gobierno) Objetivo del sistema Políticas (normas, directrices) Procedimientos Y prácticas Concientización Sistema Seguro Auditoría

Tipos de vulnerabilidades Físicas Falta de protección (candados, alarmas, TV, etc.) Ambiente no adecuado (clima) Lógicas Sistemas, errores (bugs, buffer overflow, etc.) Humanas Falta de entrenamiento (contraseñas, introducción de datos, etc.) Enfermedades

Top 10 en servidores Instalaciones con mala configuración (default) Sistemas no actualizados (parches) Autenticación pobre Contraseñas débiles Cuentas default Exceso de privilegios en los usuarios Protección no adecuada de archivos Supervisión de sistemas no adecuada (logs) Respaldos (estrategia) Seguridad física débil Gartner 2006

Amenazas Una amenza explota una vulnerabilidad Humanas Maliciosas Personas externas (piratas informáticos) Personas internas (empleados descontentos) No maliciosas Empleados ignorantes Desastres naturales Inundaciones, incendios, terremotos, huracanes

Impactos (dimensiones) Reputación Imagen (pérdida de clientes) Financiero Incremento en costos operativos Pérdida de ingresos Multas por SLA Productividad Desempeño de los procesos Legales y regulatorios Privacidad de datos

Controles Tecnología Política Proceso Procedimiento Contrarresta una amenaza Disminuye riesgo asociado a un activo

Métodos de control Controles técnicos Protecciones que se incluyen en hardware y software Controles no técnicos Controles gerenciales y operativos Políticas de seguridad Procedimientos operativos Seguridad del personal, física y ambiental

Tipos de controles Controles tecnológicos Controles físicos Edificios, CCTV, bardas, etc. Controles lógicos Sistemas, redes, etc. Controles normativos Políticas Procedimientos Controles humanos Personal Entrenamiento

Tipos de controles (físicos) Disuasivos Bardas, señales de aviso, guardias, perros Para retardos Cerraduras, Controles de acceso Detección de intrusos Externos, internos, CCTV Respuesta Procedimiento de emergencia, policía, bomberos

Tipos de controles (funcionalidaad) Preventivos Detectivos Correctivos Disuasivos Recuperación Compensatorios

Principio de protección adecuada Los recursos de cómputo deben ser protegidos solamente hasta que pierdan su valor El nivel de protección debe ser consistente con su valor Seguridad absoluta Precio infinito

Principio de más fácil penetración El eslabón más débil Intruso utilizará cualquier medio disponible La penetración no será necesariamente por el medio más obvio Tampoco será por el punto con defensa más sólida

Seguridad por niveles (Defense in depth) Defensa por capas No un solo punto de defensa infalible Esquema de la cebolla (onion)

Seguridad Informática

Seguridad de la información El problema no es solamente tecnológico. El ser humano es el eslabón más débil La información se debe proteger sin importar el formato digital, impresa, verbal, almacenada, destruida, procesada, perdida, etc.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback