Seguridad-Informatica

Vista previa del material en texto

SEGURIDAD
INFORMÁTICA
REPUBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO DE PROFESIONES 
GERENCIALES
INFORMATICA 3NZ
CARACAS, NOVIEMBRE DEL 2014
Mariannis U. Rodríguez
 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA.
 CONCEPTOS BÁSICOS DE SEGURIDAD EN LA INFORMACIÓN.
 ELEMENTOS QUE SE BUSCAN PROTEGER.
 ¿QUÉ ES UN ACTIVO?.
 TIPOS DE ACTIVOS: CLASIFICACIÓN DETALLADA.
 PRINCIPIOS BÁSICOS DE LA SEGURIDAD DE LA INFORMACIÓN.
 AMENAZAS Y PUNTOS DÉBILES.
 RIESGOS, MEDIDAS DE SEGURIDAD Y CICLO DE SEGURIDAD.
 CICLO DE SEGURIDAD.
 CONCLUSIONES.
INDICE
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA
 La Vulnerabilidad en nuestros Sistemas de Información presentan 
problemas graves.
 Por eso es necesario conocer los conceptos importantes básicos de 
Seguridad en la Información.
IUPG GERENCIA FINANCIERA
PONENTE: MARIANNIS URBINA
NOVIEMBRE DEL 2014
CONCEPTOS BÁSICOS DE SEGURIDAD EN LA 
INFORMACIÓN
 La información es el objeto de mayor valor en las organizaciones.
 La seguridad afecta directamente a los negocios de una empresa o 
de una persona.
 El propósito es proteger la información registrada 
independientemente del lugar en el que se localice.
ELEMENTOS QUE SE BUSCAN PROTEGER
Información
de la
organización
Equipos que la
soportan
Personas que las
utilizan
Seguridad
de la
Información
¿QUÉ ES UN ACTIVO?
 Un “Activo”, es todo elemento que compone todo el proceso de la 
comunicación, partiendo desde la información, emisor, medio de transmisión 
y receptor.
Emisor Receptor
( medio de transmisión )
información
Información = Activo
• Mala administración
• Errores humanos
• Virus
• Hackers
• Ataques terroristas
• Desastres naturales
P
é
rd
id
a
 o
 d
a
ñ
o
IUPG GERENCIA FINANCIERA
PONENTE: MARIANNIS URBINA
NOVIEMBRE DEL 2014
Seguridad
Informática
Empresa
Activos
Protección
Adecuada
Implementa
PoseeProtege
RecibeP
la
n
ifi
ca
Los negocios de la empresa no son 
perjudicados
TIPOS DE ACTIVOS: CLASIFICACIÓN DETALLADA
A. Información
B. Equipos que la 
soportan
B.1. Software
B.2. Hardware
B.3. Organización
C. Personas que la 
utilizan
A. INFORMACIÓN.
 Elementos que contienen datos registrados en medios magnéticos o 
físicamente.
 documentos.
 informes. 
 libros.
 manuales.
 correspondencias.
 patentes.
 estudios de mercados.
 programas.
 códigos fuentes.
 líneas de comandos.
 reportes.
 archivos.
 planillas de pagos.
 planes de negocios.
 etc.
Robo de documentos
Pérdida de archivos
Posibles vulnerabilidades
B.1. SOFTWARE.
 Programas de computadoras para la automatización de los procesos de la 
empresa y de los negocios.
 aplicaciones comerciales.
 programas institucionales.
 sistemas operativos.
 otros.
* La Seguridad de la Información evalúa la creación, 
disposición y utilización de los sistemas. Además detecta y 
corrige errores o problemas de comunicación entre 
sistemas.
Aplicaciones Seguras
Bases de Datos
Otras aplicaciones
Usuarios
Comunicación 
segura
Sistemas Operativos
con Fallas
Aplicaciones no
reparadas
Equipos
Vulnerabilidad
Hackers-virus
Principios Básicos
de Seguridad
B.2. HARDWARE.
 Infraestructura tecnológica que brinda soporte a la información durante su 
uso, tránsito y almacenamiento.
Perdida de informaciónEquipos
Indisponibilidad
Trabajo lento
Mala configuración
Fallas eléctricas
Desastres
Robos / Atentados
V
u
ln
e
ra
b
il
id
a
d
e
s
A
m
e
n
a
za
s
Principios Básicos
de Seguridad
Activos de hardware: cualquier equipo en el 
cual se almacena, procesa o transmite 
información de la empresa.
B.3. ORGANIZACIÓN.
 Aspectos que conforman la estructura física y organizativa de la empresa. 
Organización lógica y física del personal de la empresa.
Estructura Organizativa : Estructura Física :
• Departamentos.
• Funciones y Funcionarios.
• Flujo de información.
• Flujo de trabajo.
• Salas de servidores.
• Armarios.
• Archivadores.
• Fototeca.
• Videoteca.
• Salas de trabajo.
Organización
Departamentos
AreasE
s
tr
u
c
tu
ra
No se adaptan
al cambio
Documentos
Equipos
Personas
Ubicación
Insegura
V
u
ln
e
ra
b
il
id
a
d
Vulnerabilidad
Principios Básicos
de Seguridad
C. USUARIOS.
 Individuos que utilizan la estructura tecnológica y de comunicación de la 
empresa y manejan la información.
* Se busca formar el hábito de la seguridad para que los usuarios tomen conciencia de las 
vulnerabilidades.
Usuarios
Mal manejo y perdida
de la Información
C
on
tr
as
eñ
as
 s
im
pl
es
N
o 
bl
oq
ue
an
 la
 P
C
D
es
cu
id
o
N
o 
co
op
er
an
 c
on
 la
 
se
gu
rid
ad
Vulnerabilidades
Principios Básicos
de Seguridad
PRINCIPIOS BÁSICOS DE LA SEGURIDAD DE LA 
INFORMACIÓN
A. INTEGRIDAD.
 Permite garantizar que la información no sea alterada, es decir, que sea 
íntegra. Estar íntegra significa que esté en su estado original sin haber sido 
alterada por agentes no autorizados. El quiebre de la Integridad Ocurre 
cuando la información es corrompida, falsificada y burlada.
Alteraciones del contenido del documento: inserción, sustitución o remoción.
Alteraciones en los elementos que soportan la información: alteración física y lógica 
en los medios de almacenaje.
 Información
Correcta
B. CONFIDENCIALIDAD.
 Se encarga y se asegura de proporcionar la información correcta a los 
usuarios correctos. Toda la información no debe ser vista por todos los 
usuarios.
Perdida de Confidencialidad = Perdida de Secreto
La información confidencial se debe guardar con seguridad sin divulgar a 
personas no autorizadas.
Garantizar la confidencialidad es uno de los factores determinantes para la 
seguridad.
Grado de Confidencialidad
o Sigilo
Confidencial
Restricto
Sigiloso
Público
G
ra
d
o
 d
e
 
S
ig
il
o
 Para el Usuario
Correcto
C. DISPONIBILIDAD.
 La información debe llegar a su destino en el momento oportuno y preciso.
La disponibilidad permite que:
• La información se use cuando sea 
necesario.
• Que esté al alcance de los usuarios.
• Que pueda ser accesada cuando se 
necesite.
Garantías de la disponibilidad:
• Configuración segura en el ambiente 
para una disponibilidad adecuada.
• Planeación de copias de seguridad, 
backups.
• Definir estrategias para situaciones de 
contingencia.
• Fijar rutas alternativas para el transito 
de la información.
 En el Momento
Correcto
AMENAZAS: Son agentes capaces de hacer explotar los fallos de seguridad o los 
puntos débiles causando pérdidas y daños a los activos y afectando al negocio.
Integridad
Confidencialidad
Disponibilidad
Amenazas
P
la
n
 d
e
 C
o
n
ti
n
g
e
n
ci
a
Riesgo
Es constante y 
ocurre en cualquier 
momento
F
re
cu
en
ci
a
T
ie
m
po
Causas:
- Naturales.
- No naturales.
- Internas.
- Externas.
Amenazas Naturales
Amenazas Intencionales
Amenazas Involuntarias
* Principales amenazas más frecuentes:
 Ocurrencia de Virus
 Divulgación de contraseñas
 Acción de hackers
AMENAZAS Y PUNTOS DÉBILES
PUNTOS DÉBILES: Son elementos que al ser explotados por amenazas afectan 
la integridad, confidencialidad y disponibilidad de la información.
Identificación de
Puntos Débiles
Dimensión de
Riesgos
Definición de Medidas
de Seguridad
Corrección de
Puntos Débiles
<<Rastrear>> <<Analizar>> <<Planificar>> <<Depurar>>
* Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la 
información.
Puntos Débiles o Vulnerabilidades
Físicas Naturales De Hardware De Software
De Medios de
Almacenaje
De
Comunicación
Humanas
a) b) c) d) e) f) g)
A. VULNERABILIDADES FÍSICAS.
 Están presentes en los ambientes en los cuales la información se está 
almacenando o manejando.
 Instalaciones inadecuadas.
 Ausencia de equipos de seguridad.
 Cableados desordenados y expuestos.
Falta de identificación de personas, equipos y áreas.
B. VULNERABILIDADES NATURALES.
 Están relacionadas con las condiciones de la naturaleza. Humedad.
 Polvo.
 Temperaturas indebidas.
 Agentes contaminantes naturales.
 Desastres naturales.
 Sismos
Exposición de
Amenazas
Análisis de
Riesgos
Determinación y
Definición de
Objetivos
Elección de
Zonas y Areas
Montaje del
Ambiente
C. VULNERABILIDADES DE HARDWARE.
 Los defectos o fallas de fabricación o configuración de los equipos atacan y o 
 alteran los mismos.
 Ausencia de actualizaciones.
 Conservación inadecuada.
Se debe evaluar:
- La configuración y dimensión para su correcto funcionamiento.
- Almacenamiento suficiente.
- Procesamiento y velocidad adecuada.
D. VULNERABILIDADES DE SOFTWARE.
 Permite la ocurrencia de accesos indebidos a los sistemas y por ende a la 
información.
 Configuración e instalación indebida de los programas.
 Sistemas operativos mal configurados y mal organizados.
 Correos maliciosos.
 Ejecución de macro virus.
 Navegadores de Internet.
E. VULNERABILIDADES DE MEDIOS DE ALMACENAJE.
 La utilización inadecuada de los medios de almacenaje afectan la integridad, la 
confidencialidad y la disponibilidad de la información.
 Plazo de validez y de caducidad.
 Defectos de fabricación.
 Uso incorrecto.
 Mala calidad.
 Áreas o lugares de depósito inadecuados (humedad, calor, moho, magnetismo, etc.)
F. VULNERABILIDADES DE COMUNICACIÓN.
 Esto abarca todo el transito de la información, ya sea cableado, satelital, fibra 
óptica u ondas de radio inalámbricas.
* La seguridad de la información está asociada en el 
desempeño de los equipos involucrados en la 
comunicación.
Consecuencias:
 Información no disponible para los usuarios.
 Información disponible a usuarios incorrectos 
afectando el principio de Confidencialidad.
 Altera el estado original de la información afectando 
el principio de Integridad.
Causas:
 Ausencia de sistemas de encriptación.
 Mala elección en los sistemas de comunicación.
G. VULNERABILIDADES HUMANAS.
 Son daños que las personas pueden causar a la información, a los equipos y a 
los ambientes tecnológicos. Los puntos débiles humanos pueden ser 
intencionados o no.
* La mayor vulnerabilidad es el desconocimiento de las 
medidas de seguridad adecuadas o simplemente el no 
acatarlas.
Puntos débiles más frecuentes de origen interno:
 Falta de capacitación específica y adecuada.
 falta de conciencia de seguridad en los usuarios.
Puntos débiles más frecuentes de origen externo:
 Vandalismo.
 Estafas.
 Invasiones.
 Hurto / Robo.
Causas:
 Contraseñas débiles.
 Falta de criptografía en la comunicación.
 Identificadores: nombres de usuarios, credenciales, 
etc.
RIESGOS: Son las probabilidades de que las amenazas exploten los puntos 
débiles o vulnerabilidades causando daños y pérdidas, y afectando 
completamente la Integridad, Confidencialidad y Disponibilidad.
MEDIDAS DE SEGURIDAD: Son acciones orientadas hacia la eliminación de 
vulnerabilidades.
Medidas de Seguridad
PerceptivasPreventivas Correctivas
Busca evitar el 
surgimiento de nuevos 
puntos débiles y 
amenazas.
Orientado hacia la 
revelación de actos que 
pongan en riesgo a la 
información.
Orientado hacia la 
corrección y posterior 
eliminación y 
disposición de 
problemas.
RIESGOS, MEDIDAS DE SEGURIDAD Y CICLO DE 
SEGURIDAD
* Las medidas de seguridad son un 
Conjunto de Prácticas que se integran 
para buscar un mismo fin y un mismo 
Objetivo Global de Seguridad.
Medida de
Seguridad 1
Medida de
Seguridad 2
Medida de
Seguridad 3
Medida de
Seguridad nIntegración de
Medidas de Seguridad
Solución Global y Eficaz
de la Seguridad de la
Información
PRINCIPALES MEDIDAS DE SEGURIDAD
a) Análisis de Riesgos.- Busca rastrear vulnerabilidades en los activos que puedan ser explotados por 
amenazas. Del análisis de Riesgos se obtiene como resultado un grupo de recomendaciones para la 
corrección y protección de activos.
b) Políticas de Seguridad.- Busca establecer los estándares de seguridad a seguir, esto apunta a todos 
los involucrados con el uso y mantenimiento de los activos. Las PS es un conjunto de normas, y es el 
primer paso para aumentar la conciencia de la seguridad en las personas.
c) Especificaciones de Seguridad.- Son medidas para instruir la correcta implementación de nuevos 
ambientes tecnológicos por medio del detalle de sus elementos constituyentes.
d) Administración de la Seguridad.- Son medidas integradas e integrales que buscan gestionar los 
riesgos de un ambiente. Involucra a todas las medidas anteriores en forma Preventiva, Perceptiva y 
Correctiva.
CICLO DE SEGURIDAD
Integridad
Confidencialidad
Disponibilidad
RIESGOS
Amenazas
Vulnerabilidades
Activos
Medidas
de
Seguridad
Impactos 
en el
Negocio
Aumenta
Aumenta
Aum
ent
a
Aum
ent
aDisminuye
Explotan
E
xponiend o
Pé
rd
ida
sCausan
Li
m
ita
do
s
Imp
ide
n
ANALISIS DE RIESGOS
POLITICAS DE SEGURIDAD
ESPECIFICACIONES DE SEGURIDAD
ADMINISTRACION DE SEGURIDAD
MEDIDAS DE 
SEGURIDAD
ACTIVO
EMPRESA
PROCESO DE LA 
COMUNICACION
INFORMACION
EQUIPOS
PERSONAS
VULNERABILIDAD
RIESGO
PLAN DE CONTINGENCIA
AMENAZA
VULNERABILIDAD HUMANA
VULNERABILIDAD DE COMUNICACION
VULNERABILIDAD DE ALMACENAMIENTO
VULNERABILIDAD DE SOFTWARE
VULNERABILIDAD DE HARDWARE
VULNERABILIDAD NATURAL
VULNERABILIDAD FISICA
PREVENTIVA
PERCEPTIVA
CORRECTIVA
promueve
compone
tipos
presenta
elimina
generaataca
controla
tipos
tipos
implementa
enfrenta
acciones
 La seguridad busca:
 Proteger la Confidencialidad de la información contra accesos no autorizados.
Evitar alteraciones indebidas que pongan en peligro la Integridad de la 
información.
Garantizar la Disponibilidad de la información.
 La seguridad es instrumentada por políticas y Procedimientos de Seguridad 
que permiten la identificación y control de amenazas y punto débiles, con el fin 
de preservar la Integridad, Confidencialidad y Disponibilidad de la Información
CONCLUSIONES
Fuente: Academia Latinoamericana de Seguridad Informática – Microsoft TechNet
SEGURIDAD INFORMATICA
MUCHAS GRACIAS…
IUPG GERENCIA FINANCIERA
PONENTE: MARIANNIS URBINA
NOVIEMBRE DEL 2014
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22
	Slide 23
	Slide 24
	Slide 25
	Slide 26
	Slide 27