USIL-2-Seguridad-Informatica-Conceptos-y-Fundamentos-de-Seguridad-Informatica

Vista previa del material en texto

CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Conceptos y Fundamentos de la Seguridad Informática 
Seguridad Informática 
Ing. Paola García Juárez 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Objetivos de la sesión 
 Definir los conceptos y fundamentos de la Seguridad Informática. 
 
 Establecer los principales mecanismos de seguridad aplicados a la Seguridad 
Informática. 
 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
SEGURIDAD INFORMÁTICA 
Conceptos y Fundamentos 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Concepto 
 La Seguridad Informática se encarga de la seguridad en un medio informático, unidades de 
almacenamiento, equipos de procesamiento de la información entre otros. 
 
 Seguridad informática comprende software, bases de datos, metadatos, archivos, entre 
otros, y que signifique un riesgo si ésta llega a manos de otras personas. 
 
Seguridad de la 
Información 
Seguridad 
Informática 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Objetivos 
La seguridad informática está concebida para proteger los activos informáticos, entre los que se 
encuentran: 
La información contenida La infraestructura computacional 
Los usuarios 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Servicios 
 Autenticidad: Propiedad que asegura el origen de la información. El emisor puede demostrar 
que es quien dice ser. 
 
 No repudio: Propiedad que asegura que cualquier entidad que envía o recibe información no 
puede alegar ante terceros que no la envió o no la recibió. 
 
 Consistencia: Asegura que el sistema se comporta como se supone que debe hacerlo con los 
usuarios autorizados. 
 
 Aislamiento: Regula el acceso al sistema, impidiendo que personas no autorizadas entren en 
él. 
 
 Auditoría: Capacidad de determinar qué acciones o procesos se han llevado a cabo en el 
sistema y quién y cuándo los ha llevado a cabo. 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Niveles de protección 
Hardware Software Datos 
Que proteger? 
Personas 
Amenazas 
lógicas 
Amenazas 
físicas 
De que nos protegemos? 
Que consideramos? 
Amenaza Vulnerabilidad Riesgo 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Factores de riesgo 
Impredecibles 
Ambientales Tecnológicos 
Predecibles 
Humanos 
Factores externos, lluvias, 
inundaciones, terremotos, 
tormentas, suciedad, 
humedad, calor, etc. 
Fallas de Hw, Sw, aire 
acondicionado, servicio 
eléctrico, ataque por virus, 
etc. 
Hurto, fraude, sabotaje, 
hackeo, falsificación, robo 
de contraseñas, intrusión, 
alteración, etc. 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Necesidades del negocio 
 Proteger los sistemas informáticos de eventuales riesgos de seguridad, tanto a nivel interno 
como externo, es el tema que más debe preocupar hoy a las empresas que quieran irrumpir 
de manera sólida en la nueva economía. 
 
 La llegada y masificación de Internet, la irrupción del comercio electrónico y la importancia 
de la información en los procesos de toma de decisiones son algunos de los elementos que 
han impulsado una creciente preocupación por los temas de seguridad informática. 
 
 Hoy, las corporaciones multinacionales tienen estándares de seguridad con presupuesto 
asignado, generalmente impulsado por algún incidente de seguridad pasado. Las empresas 
locales tienen normas generalmente menos exigentes hasta que algún incidente les hace 
decidir un aumento de presupuesto en el tema. 
 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Protección de la información 
¿Qué debemos proteger? 
 Procesadores 
 Memoria 
 Archivos/Base de datos/archivos de programa 
 Dispositivos de entrada y de salida 
 Dispositivos de almacenamiento 
 Copias de respaldo 
 
Protección de la información y de los sistemas de información contra: 
 Acceso indebido 
 Uso negligente de la información 
 Divulgación 
 Interrupción 
 Destrucción no autorizada 
 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Gestión de la Seguridad Informática 
Ciclo de vida de la seguridad 
Identificación 
Evaluación 
Protección 
Capacitación 
Monitoreo 
Políticas y 
Estándares 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
GESTIÓN DE LA SEGURIDAD 
INFORMÁTICA 
Requisitos, Controles y Evaluaciones 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Gestión de la Seguridad Informática 
Ciclo de vida de la seguridad 
 Identificación: Se refiere al análisis de Riesgos que identifica las debilidades en la Seguridad 
Informática a fin de conocer el estado actual de la SI en la empresa y poder definir los pasos a 
seguir para prevenir y afrontar problemas. 
 
El análisis de riesgo es un método lógico y sistemático de establecer el contexto, identificar, 
analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, 
función o procesos para minimizar pérdidas. 
 
Se evalúa el nivel de la seguridad lógica de la organización, como por ejemplo gestión de 
accesos, clasificación de datos, información disponible, etc. 
 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Gestión de la Seguridad Informática 
Requisitos de la seguridad 
Es esencial que la organización identifique sus requisitos de seguridad. Existen tres fuentes 
principales para identificarlos: 
 
 Valoración de los riesgos de la organización, tomando en cuenta los objetivos y 
estrategias generales del negocio; identificando las amenazas a los activos, evaluando las 
vulnerabilidades y la probabilidad de su ocurrencia y estimación del posible impacto. 
 
 Conjunto de requisitos legales, estatutos, regulaciones y contratos que debería satisfacer 
la organización, sus socios comerciales, los contratistas y los proveedores de servicios. 
 
 Principios, objetivos y requisitos que forman parte de la gestión de la información que la 
empresa ha desarrollado como base de sus actividades. 
 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Gestión de la Seguridad Informática 
Valoración y clasificación de riesgos 
Para determinar, analizar, valorar y clasificar el riesgo en una organización, y posteriormente 
implementar mecanismos que permitan controlarlo, se requiere cumplir con las siguientes fases: 
 
 Análisis: Determina los componentes de un sistema que requiere protección, sus 
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado 
de revelar su grado de riesgo. 
 
 Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables. 
 
 Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita 
los usuarios conforme a las medidas. 
 
 Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para 
determinar y ajustar las medidas deficientes y sanciona el incumplimiento 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
CONCLUSIONES 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Conclusiones 
 La Seguridad de la Información sirve de base para definir políticas, los 
procedimientos y las medidas técnicas que se emplean para prevenir acceso no 
autorizado, alteración, robo daño físico a los sistemas de información. 
 
 Los incidentes de seguridad impactan en la información gestionada por las 
empresas y organizaciones, por lo que se requieren efectivas acciones de 
concientización, capacitación y difusión de mejores prácticas. 
 
 La Seguridad es un proceso continuo que exige aprender sobre las propias 
experiencias (ajenas o propias), y sobre todo siempre estar en constante 
actualización de soluciones y revisión de procesos internos. 
 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Seguridad Informática 
Conclusiones 
 Debido a la constantes amenazas en que se encuentran los sistemas, es necesario 
que los usuarios y las empresas enfoquen su atención en el grado devulnerabilidad y en las herramientas de seguridad con las que cuentan para 
hacerle frente a posibles ataques informáticos que luego se pueden traducir en 
grandes pérdidas. 
 
 Los ataques tienen el mayor éxito en el eslabón mas débil y difícil de proteger, en 
este caso es la gente, se trata de uno de los factores que han incentivado el 
número de ataques internos, sin importar los procesos y la tecnología, finalmente 
el evitar los ataques queda en manos de los usuarios. 
 
 
CARRERA INGENIERÍA INFORMÁTICA Y DE SISTEMAS 
Conceptos y Fundamentos de la Seguridad Informática 
Seguridad Informática 
Ing. Paola García Juárez – paola.garcia@usil.pe