Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
SEGURIDAD INFORMÁTICA REPUBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO DE PROFESIONES GERENCIALES INFORMATICA 3NZ CARACAS, NOVIEMBRE DEL 2014 Mariannis U. Rodríguez INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA. CONCEPTOS BÁSICOS DE SEGURIDAD EN LA INFORMACIÓN. ELEMENTOS QUE SE BUSCAN PROTEGER. ¿QUÉ ES UN ACTIVO?. TIPOS DE ACTIVOS: CLASIFICACIÓN DETALLADA. PRINCIPIOS BÁSICOS DE LA SEGURIDAD DE LA INFORMACIÓN. AMENAZAS Y PUNTOS DÉBILES. RIESGOS, MEDIDAS DE SEGURIDAD Y CICLO DE SEGURIDAD. CICLO DE SEGURIDAD. CONCLUSIONES. INDICE INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA La Vulnerabilidad en nuestros Sistemas de Información presentan problemas graves. Por eso es necesario conocer los conceptos importantes básicos de Seguridad en la Información. IUPG GERENCIA FINANCIERA PONENTE: MARIANNIS URBINA NOVIEMBRE DEL 2014 CONCEPTOS BÁSICOS DE SEGURIDAD EN LA INFORMACIÓN La información es el objeto de mayor valor en las organizaciones. La seguridad afecta directamente a los negocios de una empresa o de una persona. El propósito es proteger la información registrada independientemente del lugar en el que se localice. ELEMENTOS QUE SE BUSCAN PROTEGER Información de la organización Equipos que la soportan Personas que las utilizan Seguridad de la Información ¿QUÉ ES UN ACTIVO? Un “Activo”, es todo elemento que compone todo el proceso de la comunicación, partiendo desde la información, emisor, medio de transmisión y receptor. Emisor Receptor ( medio de transmisión ) información Información = Activo • Mala administración • Errores humanos • Virus • Hackers • Ataques terroristas • Desastres naturales P é rd id a o d a ñ o IUPG GERENCIA FINANCIERA PONENTE: MARIANNIS URBINA NOVIEMBRE DEL 2014 Seguridad Informática Empresa Activos Protección Adecuada Implementa PoseeProtege RecibeP la n ifi ca Los negocios de la empresa no son perjudicados TIPOS DE ACTIVOS: CLASIFICACIÓN DETALLADA A. Información B. Equipos que la soportan B.1. Software B.2. Hardware B.3. Organización C. Personas que la utilizan A. INFORMACIÓN. Elementos que contienen datos registrados en medios magnéticos o físicamente. documentos. informes. libros. manuales. correspondencias. patentes. estudios de mercados. programas. códigos fuentes. líneas de comandos. reportes. archivos. planillas de pagos. planes de negocios. etc. Robo de documentos Pérdida de archivos Posibles vulnerabilidades B.1. SOFTWARE. Programas de computadoras para la automatización de los procesos de la empresa y de los negocios. aplicaciones comerciales. programas institucionales. sistemas operativos. otros. * La Seguridad de la Información evalúa la creación, disposición y utilización de los sistemas. Además detecta y corrige errores o problemas de comunicación entre sistemas. Aplicaciones Seguras Bases de Datos Otras aplicaciones Usuarios Comunicación segura Sistemas Operativos con Fallas Aplicaciones no reparadas Equipos Vulnerabilidad Hackers-virus Principios Básicos de Seguridad B.2. HARDWARE. Infraestructura tecnológica que brinda soporte a la información durante su uso, tránsito y almacenamiento. Perdida de informaciónEquipos Indisponibilidad Trabajo lento Mala configuración Fallas eléctricas Desastres Robos / Atentados V u ln e ra b il id a d e s A m e n a za s Principios Básicos de Seguridad Activos de hardware: cualquier equipo en el cual se almacena, procesa o transmite información de la empresa. B.3. ORGANIZACIÓN. Aspectos que conforman la estructura física y organizativa de la empresa. Organización lógica y física del personal de la empresa. Estructura Organizativa : Estructura Física : • Departamentos. • Funciones y Funcionarios. • Flujo de información. • Flujo de trabajo. • Salas de servidores. • Armarios. • Archivadores. • Fototeca. • Videoteca. • Salas de trabajo. Organización Departamentos AreasE s tr u c tu ra No se adaptan al cambio Documentos Equipos Personas Ubicación Insegura V u ln e ra b il id a d Vulnerabilidad Principios Básicos de Seguridad C. USUARIOS. Individuos que utilizan la estructura tecnológica y de comunicación de la empresa y manejan la información. * Se busca formar el hábito de la seguridad para que los usuarios tomen conciencia de las vulnerabilidades. Usuarios Mal manejo y perdida de la Información C on tr as eñ as s im pl es N o bl oq ue an la P C D es cu id o N o co op er an c on la se gu rid ad Vulnerabilidades Principios Básicos de Seguridad PRINCIPIOS BÁSICOS DE LA SEGURIDAD DE LA INFORMACIÓN A. INTEGRIDAD. Permite garantizar que la información no sea alterada, es decir, que sea íntegra. Estar íntegra significa que esté en su estado original sin haber sido alterada por agentes no autorizados. El quiebre de la Integridad Ocurre cuando la información es corrompida, falsificada y burlada. Alteraciones del contenido del documento: inserción, sustitución o remoción. Alteraciones en los elementos que soportan la información: alteración física y lógica en los medios de almacenaje. Información Correcta B. CONFIDENCIALIDAD. Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos. Toda la información no debe ser vista por todos los usuarios. Perdida de Confidencialidad = Perdida de Secreto La información confidencial se debe guardar con seguridad sin divulgar a personas no autorizadas. Garantizar la confidencialidad es uno de los factores determinantes para la seguridad. Grado de Confidencialidad o Sigilo Confidencial Restricto Sigiloso Público G ra d o d e S ig il o Para el Usuario Correcto C. DISPONIBILIDAD. La información debe llegar a su destino en el momento oportuno y preciso. La disponibilidad permite que: • La información se use cuando sea necesario. • Que esté al alcance de los usuarios. • Que pueda ser accesada cuando se necesite. Garantías de la disponibilidad: • Configuración segura en el ambiente para una disponibilidad adecuada. • Planeación de copias de seguridad, backups. • Definir estrategias para situaciones de contingencia. • Fijar rutas alternativas para el transito de la información. En el Momento Correcto AMENAZAS: Son agentes capaces de hacer explotar los fallos de seguridad o los puntos débiles causando pérdidas y daños a los activos y afectando al negocio. Integridad Confidencialidad Disponibilidad Amenazas P la n d e C o n ti n g e n ci a Riesgo Es constante y ocurre en cualquier momento F re cu en ci a T ie m po Causas: - Naturales. - No naturales. - Internas. - Externas. Amenazas Naturales Amenazas Intencionales Amenazas Involuntarias * Principales amenazas más frecuentes: Ocurrencia de Virus Divulgación de contraseñas Acción de hackers AMENAZAS Y PUNTOS DÉBILES PUNTOS DÉBILES: Son elementos que al ser explotados por amenazas afectan la integridad, confidencialidad y disponibilidad de la información. Identificación de Puntos Débiles Dimensión de Riesgos Definición de Medidas de Seguridad Corrección de Puntos Débiles <<Rastrear>> <<Analizar>> <<Planificar>> <<Depurar>> * Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la información. Puntos Débiles o Vulnerabilidades Físicas Naturales De Hardware De Software De Medios de Almacenaje De Comunicación Humanas a) b) c) d) e) f) g) A. VULNERABILIDADES FÍSICAS. Están presentes en los ambientes en los cuales la información se está almacenando o manejando. Instalaciones inadecuadas. Ausencia de equipos de seguridad. Cableados desordenados y expuestos. Falta de identificación de personas, equipos y áreas. B. VULNERABILIDADES NATURALES. Están relacionadas con las condiciones de la naturaleza. Humedad. Polvo. Temperaturas indebidas. Agentes contaminantes naturales. Desastres naturales. Sismos Exposición de Amenazas Análisis de Riesgos Determinación y Definición de Objetivos Elección de Zonas y Areas Montaje del Ambiente C. VULNERABILIDADES DE HARDWARE. Los defectos o fallas de fabricación o configuración de los equipos atacan y o alteran los mismos. Ausencia de actualizaciones. Conservación inadecuada. Se debe evaluar: - La configuración y dimensión para su correcto funcionamiento. - Almacenamiento suficiente. - Procesamiento y velocidad adecuada. D. VULNERABILIDADES DE SOFTWARE. Permite la ocurrencia de accesos indebidos a los sistemas y por ende a la información. Configuración e instalación indebida de los programas. Sistemas operativos mal configurados y mal organizados. Correos maliciosos. Ejecución de macro virus. Navegadores de Internet. E. VULNERABILIDADES DE MEDIOS DE ALMACENAJE. La utilización inadecuada de los medios de almacenaje afectan la integridad, la confidencialidad y la disponibilidad de la información. Plazo de validez y de caducidad. Defectos de fabricación. Uso incorrecto. Mala calidad. Áreas o lugares de depósito inadecuados (humedad, calor, moho, magnetismo, etc.) F. VULNERABILIDADES DE COMUNICACIÓN. Esto abarca todo el transito de la información, ya sea cableado, satelital, fibra óptica u ondas de radio inalámbricas. * La seguridad de la información está asociada en el desempeño de los equipos involucrados en la comunicación. Consecuencias: Información no disponible para los usuarios. Información disponible a usuarios incorrectos afectando el principio de Confidencialidad. Altera el estado original de la información afectando el principio de Integridad. Causas: Ausencia de sistemas de encriptación. Mala elección en los sistemas de comunicación. G. VULNERABILIDADES HUMANAS. Son daños que las personas pueden causar a la información, a los equipos y a los ambientes tecnológicos. Los puntos débiles humanos pueden ser intencionados o no. * La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas o simplemente el no acatarlas. Puntos débiles más frecuentes de origen interno: Falta de capacitación específica y adecuada. falta de conciencia de seguridad en los usuarios. Puntos débiles más frecuentes de origen externo: Vandalismo. Estafas. Invasiones. Hurto / Robo. Causas: Contraseñas débiles. Falta de criptografía en la comunicación. Identificadores: nombres de usuarios, credenciales, etc. RIESGOS: Son las probabilidades de que las amenazas exploten los puntos débiles o vulnerabilidades causando daños y pérdidas, y afectando completamente la Integridad, Confidencialidad y Disponibilidad. MEDIDAS DE SEGURIDAD: Son acciones orientadas hacia la eliminación de vulnerabilidades. Medidas de Seguridad PerceptivasPreventivas Correctivas Busca evitar el surgimiento de nuevos puntos débiles y amenazas. Orientado hacia la revelación de actos que pongan en riesgo a la información. Orientado hacia la corrección y posterior eliminación y disposición de problemas. RIESGOS, MEDIDAS DE SEGURIDAD Y CICLO DE SEGURIDAD * Las medidas de seguridad son un Conjunto de Prácticas que se integran para buscar un mismo fin y un mismo Objetivo Global de Seguridad. Medida de Seguridad 1 Medida de Seguridad 2 Medida de Seguridad 3 Medida de Seguridad nIntegración de Medidas de Seguridad Solución Global y Eficaz de la Seguridad de la Información PRINCIPALES MEDIDAS DE SEGURIDAD a) Análisis de Riesgos.- Busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. Del análisis de Riesgos se obtiene como resultado un grupo de recomendaciones para la corrección y protección de activos. b) Políticas de Seguridad.- Busca establecer los estándares de seguridad a seguir, esto apunta a todos los involucrados con el uso y mantenimiento de los activos. Las PS es un conjunto de normas, y es el primer paso para aumentar la conciencia de la seguridad en las personas. c) Especificaciones de Seguridad.- Son medidas para instruir la correcta implementación de nuevos ambientes tecnológicos por medio del detalle de sus elementos constituyentes. d) Administración de la Seguridad.- Son medidas integradas e integrales que buscan gestionar los riesgos de un ambiente. Involucra a todas las medidas anteriores en forma Preventiva, Perceptiva y Correctiva. CICLO DE SEGURIDAD Integridad Confidencialidad Disponibilidad RIESGOS Amenazas Vulnerabilidades Activos Medidas de Seguridad Impactos en el Negocio Aumenta Aumenta Aum ent a Aum ent aDisminuye Explotan E xponiend o Pé rd ida sCausan Li m ita do s Imp ide n ANALISIS DE RIESGOS POLITICAS DE SEGURIDAD ESPECIFICACIONES DE SEGURIDAD ADMINISTRACION DE SEGURIDAD MEDIDAS DE SEGURIDAD ACTIVO EMPRESA PROCESO DE LA COMUNICACION INFORMACION EQUIPOS PERSONAS VULNERABILIDAD RIESGO PLAN DE CONTINGENCIA AMENAZA VULNERABILIDAD HUMANA VULNERABILIDAD DE COMUNICACION VULNERABILIDAD DE ALMACENAMIENTO VULNERABILIDAD DE SOFTWARE VULNERABILIDAD DE HARDWARE VULNERABILIDAD NATURAL VULNERABILIDAD FISICA PREVENTIVA PERCEPTIVA CORRECTIVA promueve compone tipos presenta elimina generaataca controla tipos tipos implementa enfrenta acciones La seguridad busca: Proteger la Confidencialidad de la información contra accesos no autorizados. Evitar alteraciones indebidas que pongan en peligro la Integridad de la información. Garantizar la Disponibilidad de la información. La seguridad es instrumentada por políticas y Procedimientos de Seguridad que permiten la identificación y control de amenazas y punto débiles, con el fin de preservar la Integridad, Confidencialidad y Disponibilidad de la Información CONCLUSIONES Fuente: Academia Latinoamericana de Seguridad Informática – Microsoft TechNet SEGURIDAD INFORMATICA MUCHAS GRACIAS… IUPG GERENCIA FINANCIERA PONENTE: MARIANNIS URBINA NOVIEMBRE DEL 2014 Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25 Slide 26 Slide 27
Compartir